Tải bản đầy đủ (.docx) (61 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

TRIỂN KHAI hệ THỐNG CUNG cấp CHỨNG CHỈ số ỨNG DỤNG TRONG bảo mật EMAIL TRÊN WINDOWS SERVER

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.47 MB, 61 trang )

1

MỤC LỤC
DANH MỤC VIẾT TẮT............................................................................iii
DANH MỤC HÌNH....................................................................................iv
PHẦN MỞ ĐẦU..........................................................................................1
1. Tính cấp thiết của Chuyên đề....................................................................1
2. Mục tiêu của Chuyên đề............................................................................1
3. Đối tượng nghiên cứu................................................................................2
4. Phạm vi nghiên cứu...................................................................................2
5. Phương pháp nghiên cứu...........................................................................2
6. Nội dung nghiên cứu.................................................................................2
7. Giới thiệu khái quát nội dung trong báo cáo chuyên đề............................3
Chương 1. TỔNG QUAN VỀ HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ
.......................................................................................................................4
1.1. Giới thiệu................................................................................................4
1.2. Tổng quan về chứng chỉ số và tổ chức chứng thực................................5
1.2.1. Khái niệm chứng chỉ số...................................................................5
1.2.2. Tổ chức chứng thực (CA – Certificate Authentication)..................6
1.3. Khái quát về bảo mật email sử dụng hệ thống cung cấp chứng chỉ số...7
1.3.1. Thực trạng sử dụng dịch vụ thư điện tử (email) và những nguy cơ
mất an toàn thông tin khi gửi nhận mail....................................................7
1.3.2. Một số biện pháp bảo mật email.....................................................8
Chương 2. CHỨNG CHỈ SỐ VÀ CƠ SỞ HẠ TẦNG MÃ HÓA CÔNG
KHAI..........................................................................................................13
2.1. Chứng chỉ số.........................................................................................13
2.1.1. Chứng chỉ khóa công khai X.509 v3.............................................13
2.2. Lợi ích của chứng chỉ số.......................................................................16
2.2.1. Bảo mật thông tin..........................................................................16
2.2.2. Chống giả mạo...............................................................................17
2.2.3. Xác thực........................................................................................17


2.2.4. Chống chối cãi nguồn gốc.............................................................17
2.2.5. Chữ ký điện tử...............................................................................17
2.2.6. Bảo mật các dịch vụ......................................................................18


2

2.3. Dịch vụ CA trên môi trường Windows Server 2003............................18
2.3.1. Các dịch vụ chứng chỉ CA............................................................18
2.3.2. Các loại CA trên Windows Server 2003........................................19
2.3.3. Cấp phát và quản lý các chứng chỉ số...........................................19
2.4. Cơ sở hạ tầng mã hóa công khai...........................................................26
2.4.1. Các thành phần của PKI................................................................26
2.4.2. Chức năng cơ bản của PKI............................................................26
Chương 3. TRIỂN KHAI HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ
ỨNG DỤNG TRONG BẢO MẬT EMAIL TRÊN WINDOWS SERVER
2003.............................................................................................................29
3.1. Cài đặt phần mềm MDaemon Mail Server...........................................29
3.2. Cài đặt CA............................................................................................32
3.3. Gửi nhận mail khi chưa xin cấp chứng chỉ số (gửi nhận mail không an
toàn).............................................................................................................36
3.4. Gửi nhận mail khi đã xin cấp chứng chỉ số (gửi nhận mail an toàn)....41
KẾT LUẬN................................................................................................53
1. Kết quả đạt được......................................................................................53
2. Tồn tại......................................................................................................53
3. Hướng phát triển......................................................................................53
DANH MỤC TÀI LIỆU THAM KHẢO.................................................54


3


DANH MỤC VIẾT TẮT
Kí hiệu

Nội dung

CA

Certificate Authentication

PKI
RA
IIS
CRL
ARL
GPO
OCSP
OID
SMTP
POP3

Public key infrastructure
Resgistration Authorities
Internet Information Service
Certificate Revocation Lists
Authority Revocation List
Group Policy Objects
Online Certificate Status Protocol
Object Identifier
Simple Mail Transfer Protocol

Post Office Protocol version 3


4

DANH MỤC HÌNH
Hình 1.1. Mô hình mã hóa đối xứng.............................................................9
Hình 1.2. Mô hình mã hóa và giải mã với hệ mã hóa đối xứng..................10
Hình 1.3. Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa đối xứng....10
Hình 1.4. Mô hình mã hóa và giải mã với hệ mã hóa không đối xứng.......11
Hình 1.5. Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa không đối
xứng.............................................................................................................11
Hình 1.6. CA xác thực thông tin cho A.......................................................12
Hình 2.1. Chứng chỉ số................................................................................13
Hình 2.2. Khuôn dạng chứng chỉ X.509.....................................................14
Hình 2.3. Cài đặt cấp phát chứng chỉ số tự động........................................20
Hình 2.4. Cấp phát chứng chỉ số tự động....................................................21
Hình 2.5. Cấp phát chứng chỉ số không tự động.........................................22
Hình 2.6. Yêu cầu cấp phát chứng chỉ số thông qua Web...........................23
Hình 2.7. Khuôn dạng danh sách chứng chỉ bị thu hồi...............................24
Hình 2.8. Dịch vụ kiểm tra online...............................................................25
Hình 3.1. Khai báo tên Domain...................................................................29
Hình 3.2. Để MDaemon hoạt động ở chế độ Advanced..............................30
Hình 3.3. Cài đặt MDaemon như một System service................................30
Hình 3.4. Kết thúc quá trình cài đặt MDaemon..........................................31
Hình 3.5. Giao diện của MDaemon.............................................................31
Hình 3.6. Giao diện Add or Remove Programs...........................................32
Hình 3.7. Giao diện Windows Components................................................33
Hình 3.8. Giao diện Cài đặt dịch vụ Internet Information Service (IIS).....33
Hình 3.9. Hộp thoại cảnh báo Microsoft Certificate Servies......................34

Hình 3.10. Giao diện CA Type....................................................................34
Hình 3.11. Giao diện CA Identifying Information......................................35
Hình 3.12. Hộp thoại Microsoft Certificate Services..................................35
Hình 3.13. Giao diện của Certification Authority.......................................36
Hình 3.14. Giao diện quản lý tài khoản của MDaemon..............................37
Hình 3.15. Tạo tài khoản
Hình 3.16. Cài đặt tài khoản


5

Hình 3.17. Cấu hình Outlook Express cho tài khoản 39
Hình 3.18. Nhập địa chỉ IP vào các dịch vụ SMTP và POP3......................39
Hình 3.19. Cấu hình Outlook Express cho tài khoản 40
Hình 3.20. Tài khoản gửi thư cho tài khoản

Hình 3.21. Truy cập vào tài khoản
Hình 3.22. Nội dung thư mà tài khoản nhận được
.....................................................................................................................41
Hình 3.23. Yêu cầu chứng thực...................................................................42
Hình 3.24. Yêu cầu chứng thực cho tài khoản
Hình 3.25. Xin cấp chứng chỉ số cho tài khoản
Hình 3.26. Xác nhận của Server cho Request ID 2.....................................43
Hình 3.27. Hộp thoại View the Status of a Pending Certificate Request....43
Hình 3.28. Hộp thoại Certificate Issued......................................................44
Hình 3.29. Hộp thoại Potential Scripting Violation....................................44
Hình 3.30. Cài đặt chứng chỉ số thành công...............................................44
Hình 3.31. Xin cấp chứng chỉ số cho tài khoản
Hình 3.32. Xác nhận của Server cho Request ID 3.....................................45
Hình 3.33. Hộp thoại Potential Scripting Violation....................................46

Hình 3.34. Hộp thoại Security Warning......................................................46
Hình 3.35. Cài đặt chứng chỉ số lên tài khoản thành
công.............................................................................................................47
Hình 3.36. Hộp thoại Select Default Account Digital ID............................47
Hình 3.37. Cài đặt tài khoản sau khi đã cài chứng chỉ
số.................................................................................................................48
Hình 3.38. Thư đính kèm sign từ gửi tới

Hình 3.39. Thông báo thư được đảm bảo....................................................49
Hình 3.40. nhận thư được gửi từ
Hình 3.41. Tài khoản gửi thư đã mã hóa cho

Hình 3.42. Thông báo thư nhận được đã được mã hóa...............................50
Hình 3.43. nhận được thư đã mã hóa gửi từ



6

Hình 3.44. Tài khoản không đọc được nội dung
thư................................................................................................................51
Hình 3.45. Nội dung thư đã được mã hóa...................................................52


1

PHẦN MỞ ĐẦU
1. Tính cấp thiết của Chuyên đề
Ngày nay khoa học và công nghệ trên thế giới đang phát triển mạnh mẽ, tạo
ra những bước tiến nhảy vọt, đặc biệt trong các lĩnh vực điện tử - viễn thông, tin

học và công nghệ thông tin. Công nghệ thông tin ngày càng đóng vai trò quan
trọng trong đời sống xã hội. Nó đã ở một bước phát triển cao đó là số hóa tất cả
các dữ liệu thông tin, luân chuyển mạnh mẽ và kết nối tất cả chúng ta lại với
nhau. Mọi loại thông tin, số liệu âm thanh, hình ảnh có thể được đưa về dạng kỹ
thuật số để bất kỳ máy tính nào cũng có thể lưu trữ, xử lý và chuyển tiếp cho
nhiều người. Những công cụ và sự kết nối của thời đại kỹ thuật số cho phép
chúng ta dễ dàng thu thập, chia sẻ thông tin và hành động trên cơ sở những
thông tin này theo phương thức hoàn toàn mới. Việc giao tiếp và trao đổi thông
tin qua mạng Internet đang trở thành một nhu cầu không thể thiếu. Tuy nhiên
việc giao tiếp trao đổi thông tin qua mạng một cách phổ biến như vậy sẽ tiềm ẩn
rất nhiều nguy cơ bị đánh cắp thông tin, tạo cơ hội cho những ''kẻ trộm'' công
nghệ cao có thể thực hiện các hành vi phạm pháp. Các thông tin quan trọng
được truyền qua mạng như: mã số tài khoản, tài liệu mật, các thông tin vể cá
nhân... có thể bị nghe trộm (Eavesdropping), giả mạo (Tampering), mạo danh
(Impersonation)…một cách dễ dàng. Chính vì vậy vấn đề bảo mật khi truyền tin
qua mạng Internet hiện nay là một vấn đề rất đáng được quan tâm.
Hiện nay, phương pháp mã hoá và bảo mật phổ biến nhất đang được thế
giới áp dụng là chứng chỉ số (Digital Certificate). Với chứng chỉ số, người sử
dụng có thể mã hoá thông tin một cách hiệu quả, bảo mật tốt các thông tin,
chống giả mạo (cho phép người nhận kiểm tra thông tin có bị thay đổi không),
xác thực danh tính của người gửi. Ngoài ra chứng chỉ số còn là bằng chứng giúp
chống chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình
đã gửi. Do vậy việc triển khai mô phỏng hệ thống cung cấp chứng chỉ số (CA Certificate Authentication) để thực hiện việc bảo mật là một việc vô cùng cần
thiết. Hơn nữa việc nghiên cứu chuyên đề này còn phục vụ cho việc học tập, tự
nghiên cứu và nâng cao tư duy logic, khả năng làm việc tự lập và trang bị những
kiến thức, kinh nghiệm quý báu giúp ích cho quá trình đi thực tập và làm việc
của chúng em sau này.
2. Mục tiêu của Chuyên đề
- Tập trung nghiên cứu về hệ thống cung cấp chứng chỉ số và ứng dụng
trong bảo mật email, tìm hiểu về thực trạng tình hình sử dụng email hiện nay và

những nguy cơ mất an toàn thông tin khi gửi nhận email đồng thời đưa ra một số
biện pháp bảo mật email, những ưu nhược điểm của các biện pháp bảo mật
email này.
- Nghiên cứu và hiểu về chứng chỉ số, các dịch vụ CA và cơ sở hạ tầng mã
hóa công khai để từ đó hiểu được cách thức bảo mật email khi áp dụng hệ thống
cung cấp chứng chỉ số.


2

- Nghiên cứu xem làm thế nào để xây dựng được hệ thống cung cấp chứng
chỉ số. Cuối cùng là phải mô phỏng được quá trình xây dựng hệ thống cung cấp
chứng chỉ số (CA) ứng dụng trong bảo mật email.
3. Đối tượng nghiên cứu
- Các tài liệu về hệ thống cung cấp chứng chỉ số và biện pháp bảo mật
email
- Bảo mật email bằng hệ thống cung cấp chứng chỉ số
- Các dịch vụ CA và cơ sở hạ tầng mã hóa công khai
- Chứng chỉ số và xây dựng hệ thống cung cấp chứng chỉ số
- Nghiên cứu và sử dụng phần mềm MDaemon Mail Server và Outlook
Express
- Chức năng và nguyên tắc hoạt động của hệ thống cung cấp chứng chỉ số
(CA - Certificate Authentication)
4. Phạm vi nghiên cứu
- Về lý thuyết, nghiên cứu về chứng chỉ số, hệ thống cung cấp chứng chỉ
số, vấn đề bảo mật email sử dụng hệ thống cung cấp chứng chỉ số, tìm hiểu về
cơ sở hạ tầng mã khóa công khai (PKI).
- Về thực nghiệm, sử dụng phần mềm MDaemon Mail Server và Outlook
Express cùng với chương trình để thực hành việc bảo mật email sử dụng hệ
thống cung cấp chứng chỉ số trên hệ thống máy ảo.

5. Phương pháp nghiên cứu
- Phương pháp phân tích, tổng hợp lý thuyết và kinh nghiệm
- Phương pháp phân loại và hệ thống hóa lý thuyết
- Phương pháp thực nghiệm: cài đặt và sử dụng các phần mềm trên máy ảo
và tiến hành gửi, nhận email
- Phương pháp quan sát khoa học
- Phương pháp khai thác sử dụng phần mềm của máy tính: Nghiên cứu và
sử dụng phần mềm MDaemon Mail Server và chương trình Certification
Authority
- Phương pháp nghiên cứu tài liệu: Tìm kiếm nguồn tài liệu liên quan đến
hệ thống cung cấp chứng chỉ số và vấn đề bảo mật email bằng hệ thống cung cấp
chứng chỉ số.
6. Nội dung nghiên cứu
Nội dung 1: Nghiên cứu tổng quan về hệ thống cung cấp chứng chỉ số, thực
trạng sử dụng emai và những nguy cơ mất an toàn thông tin khi gửi nhận email,
một số biện pháp bảo mật email và vấn đề bảo mật email sử dụng hệ thống cung
cấp chứng chỉ số.


3

Nội dung 2: Tìm hiểu về chứng chỉ số và các lợi ích của chứng chỉ số, các
dịch vụ CA, cơ sở hạ tầng mã khóa công khai (PKI).
Nội dung 3: Xây dựng demo triển khai, mô phỏng hệ thống cung cấp chứng
chỉ số ứng dụng trong bảo mật email trên Windows Server 2003.
7. Giới thiệu khái quát nội dung trong báo cáo chuyên đề
Chuyên đề này được thực hiện với mục đích triển khai mô phỏng hệ thống
cung cấp chứng chỉ số, bố cục của chuyên đề bao gồm 3 chương và phần mở
đầu, phần kết luận.
PHẦN MỞ ĐẦU

Nội dung chính của phần này là tính cấp thiết của chuyên đề, mục tiêu của
chuyên đề, đối tượng nghiên cứu, phạm vi nghiên cứu, phương pháp nghiên cứu,
nội dung nghiên cứu của chuyên đề.
Chương 1. Tổng quan về hệ thống cung cấp chứng chỉ số
Nội dung chính của chương này là nghiên cứu tổng quan về hệ thống cung
cấp chứng chỉ số, thực trạng sử dụng emai và những nguy cơ mất an toàn thông
tin khi gửi nhận email, một số biện pháp bảo mật email và vấn đề bảo mật email
sử dụng hệ thống cung cấp chứng chỉ số.
Chương 2. Chứng chỉ số và cơ sở hạ tầng mã hóa công khai
Chương này tìm hiểu về chứng chỉ số và các lợi ích của chứng chỉ số, các
dịch vụ CA, cơ sở hạ tầng mã khóa công khai (PKI), các thành phần, chức năng
cơ bản của PKI.
Chương 3. Triển khai hệ thống cung cấp chứng chỉ số ứng dụng trong
bảo mật email trên windows server 2003
Nội dung chính của chương này là Xây dựng demo triển khai, mô phỏng hệ
thống cung cấp chứng chỉ số ứng dụng trong bảo mật email trên Windows
Server 2003.
KẾT LUẬN
Phần kết luận nêu lên các mặt đã làm được trong chuyên đề, các mặt chưa
đạt được và hướng phát triển của chuyên đề.


4

Chương 1. TỔNG QUAN VỀ HỆ THỐNG CUNG CẤP CHỨNG CHỈ SỐ
1.2. Giới thiệu
Ngày nay, mạng Internet đã trở thành nền tảng chính cho sự trao đổi thông
tin trên toàn cầu. Giao tiếp qua Internet sử dụng giao thức TCP/IP, là giao thức
cho phép các thông tin được gửi từ máy này tới máy khác thông qua một loạt
máy trung gian hoặc máy riêng biệt. Chính vì điều này đã tạo cơ hội cho "kẻ

trộm" công nghệ cao có thể thực hiện các hành động phi pháp. Do đó, những
yêu cầu được đặt ra đối với việc trao đổi thông tin trên mạng là:
- Bảo mật tuyệt đối thông tin trong giao dịch
- Đảm bảo tính toàn vẹn của thông tin
- Chứng thực được tính đúng đắn về pháp lí của thực thể tham gia trao đổi
thông tin.
- Đảm bảo thực thể không thể phủ nhận hay chối bỏ trách nhiệm của họ về
những hoạt động giao dịch trên Internet.
Từ thực tế đó cần có phương pháp bảo mật thông tin nhằm cải thiện an toàn
trên Internet. Việc tìm ra giải pháp bảo mật dữ liệu, cũng như việc chứng nhận
quyền sở hữu của cá nhân là một vấn đề luôn luôn mới. Bảo mật phải được
nghiên cứu và cải tiến để theo kịp sự phát triển không ngừng của cuộc sống.
[ CITATION Pha1 \l 1033 ]
- Làm sao để bảo mật dữ liệu?
- Làm sao để tin tức truyền đi không bị mất mát hay bị đánh tráo?
- Làm sao để người nhận biết được thông tin mà họ nhận được có chính xác
hay không? Thông tin đã bị thay đổi gì chưa?
- Làm sao để biết được thông tin này do ai gửi đến?
- Thuộc quyền sở hữu của ai?
Những câu hỏi được đặt ra là một thách thức rất lớn đối với những người
nghiên cứu về bảo mật. Có rất nhiều cách thức để bảo vệ thông tin trên đường
truyền, nhiều giải pháp được đề xuất như: sử dụng mật khẩu (password), mã hóa
dữ liệu... Cùng với sự phát triển của các biện pháp bảo mật ngày càng phức tạp,
thì các hình thức tấn công ngày càng tinh vi hơn. Do đó vấn đề đặt ra ở đây là
làm sao đưa ra một giải pháp thích hợp, có hiệu quả theo kịp thời gian và sự phát
triển mạnh mẽ của khoa học kỹ thuật.
Để đảm bảo bí mật, các thông tin truyền trên Internet ngày nay đều có xu
hướng được mã hóa trước khi truyền qua mạng Internet, người gửi mã hóa thông
tin trong quá trình truyền dù có thể "chặn" được các thông tin này kẻ trộm cũng
không thể đọc được vì đã bị mã hóa. Khi tới đích người nhận sẽ sử dụng một

công cụ đặc biệt để giải mã. Phương pháp mã hóa và bảo mật phổ biến nhất
đang được thế giới áp dụng là chứng chỉ số (Digital Certificate). Với chứng chỉ
số, người sử dụng có thể mã hóa thông tin một cách hiệu quả, chống giả mạo


5

(cho phép người nhận kiểm tra thông tin có bị thay đổi hay không), xác thực
danh tính của người gửi. Ngoài ra chứng chỉ số còn là bằng chứng giúp chống
chối cãi nguồn gốc, ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình đã
gửi. Để hiểu sâu hơn về vấn đề này, sau đây chuyên đề sẽ trình bày về việc triển
khai mô phỏng hệ thống cung cấp chứng chỉ số.[ CITATION Trị \l 1033 ]
1.3. Tổng quan về chứng chỉ số và tổ chức chứng thực
1.3.1. Khái niệm chứng chỉ số
Chứng chỉ số là một tập tin điện tử dùng để xác minh danh tính một cá
nhân, một máy chủ, một công ty... trên Internet. Nó giống như bằng lái xe, hộ
chiếu, chứng minh thư hay những giấy tờ cá nhân.
Để có chứng minh thư, bạn phải được công an sở tại cấp. Chứng chỉ số
cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là
chính xác, được gọi là nhà cung cấp chứng chỉ số (Certificate Authority, viết tắt
là CA). CA phải đảm bảo độ tin cậy, chịu trách nhiệm về độ chính xác của
chứng chỉ số mà mình cung cấp.
Trong chứng chỉ số có 4 thành phần chính:
- Thông tin cá nhân được cấp.
- Khóa công khai (Public key) của người được cấp.
- Chữ ký của CA cấp chứng chỉ
- Thời gian hợp lệ.
Thông tin cá nhân: Đây là các thông tin của đối tượng được cấp chứng chỉ
số, gồm tên, quốc tịch, địa chỉ, điên thoại, email, tên tổ chức... Phần này giống
như các thông tin trên chứng minh thư của mỗi người.

Khóa công khai: Trong khái niệm về mật mã, khóa công khai là một giá trị
được nhà cung cấp chứng chỉ đưa ra như một khóa mã hóa, kết hợp với cùng
một khóa cá nhân duy nhất được tạo ra từ khóa công khai để tạo thành cặp mã
bất đối xứng.[ CITATION Pha \l 1033 ]
Nguyên lý hoạt động của khóa công khai trong chứng chỉ số là hai bên giao
dịch phải biết khóa công khai của nhau. Bên A muốn gửi cho bên B thì phải
dùng khóa công khai của bên B để mã hóa thông tin. Bên B sẽ dùng khóa cá
nhân của mình để mở thông tin đó ra. Tính chất bất đối xứng trong mã hóa thể
hiện ở chỗ khóa cá nhân có thể giãi mã dữ liệu được mã hóa bằng khóa công
khai (trong cùng một cặp khóa duy nhất mà mỗi cá nhân sỡ hữu), nhưng khóa
công khai không có khả năng giải mã lại thông tin, kể cả những thông tin do
chính khóa công khai đó đã mã hóa. Đây là đặc tính cần thiết cần thiết vì có thể
có nhiều cá nhân B,C,D... cùng thực hiên giao dịch và có khóa công khai của A,
nhưng C,D... không thể giải mã được các thông tin mà B gửi cho A dù cho đã
chặn bắt được các gói thông tin trên mạng.
Một cách hiểu nôm na, nếu chứng chỉ số là một chứng minh thư nhân dân,
thì khóa công khai đóng vai trò như danh tính của bạn trên giấy chứng minh thư


6

(gồm tên, địa chỉ, ảnh), còn khóa cá nhân là gương mặt và dấu vân tay của bạn.
Nếu coi một bưu phẩm là thông tin truyền đi được mã hóa bằng địa chỉ và tên
người nhận của bạn, thì dù ai đó có dùng chứng minh thư của bạn với mục đích
lấy bưu phẩm này cũng không được nhân viên bưu điên giao bưu kiện vì ảnh và
dấu vân tay không giống.
Chữ ký số của CA cấp chứng chỉ: Còn gọi là chứng chỉ gốc. Đây chính là
sự xác nhận của CA, bảo đảm tính chính xác và hợp lệ của chứng chỉ. Muốn
kiểm tra một chứng chỉ số, trước tiên phải kiểm tra chữ ký số của CA có hợp lệ
hay không. Trên chứng minh thư đây chính là con dấu xác nhận của Công An

Tỉnh hoặc thành phố mà bạn đang trực thuộc. Về nguyên tắc, khi kiểm tra chứng
minh thư, đúng ra đầu tiên là phải xem con dấu này, để biết chứng minh thư có
bị làm giả hay không.[ CITATION Pha1 \l 1033 ]
1.3.2. Tổ chức chứng thực (CA – Certificate Authentication)
Trong các hệ thống quản lý chứng chỉ số đang hoạt động trên thế giới, nhà
cung cấp chứng chỉ số (Certificate authority - CA) là một tổ chức chuyên đưa ra
và quản lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng các
khóa công khai để mã hóa thông tin. Một CA sẽ kiểm tra cùng với một nhà quản
lý đăng ký (Registration Authority - RA)[ CITATION Ada \l 1033 ] để xác minh
thông tin về một chứng chỉ số mà người yêu cầu xác thực đưa ra. Nếu RA xác
nhận thông tin của người cần xác thực, CA sau đó sẽ đưa ra một chứng chỉ.
Trong hạ tầng cơ sở khóa công khai, chứng chỉ có vai trò gắn kết giữa định
danh với khóa công. Một CA là một thực thể PKI có trách nhiệm cấp chứng chỉ
cho các thực thể khác trong hệ thống. Tổ chức chứng thực - CA cũng được gọi là
bên thứ ba được tin tưởng vì người sử dụng cuối tin tưởng vào chữ ký số của CA
trên chứng chỉ trong khi thực hiện những hoạt động mã hóa khóa công khai cần
thiết.
Thông thường, CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ
cho các CA khác và cho thực thể cuối (người giữ chứng chỉ) trong hệ thống. Nếu
CA nằm ở đỉnh của mô hình phân cấp PKI và chỉ cấp chứng chỉ cho những CA ở
mức thấp hơn thì chứng chỉ này được gọi là chứng chỉ gốc “root certificate”.
Hiện nay có rất nhiều dịch vụ mạng sử dụng hệ thống cung cấp chứng chỉ
số như: Dịch vụ nhận và gửi email, dịch vụ VPN, dịch vụ Web sử dụng SSL…
Do thời gian nghiên cứu có hạn nên đề tài này chỉ tập trung nghiên cứu và triển
khai mô phỏng hệ thống cung cấp chứng chỉ số đối với dịch vụ gửi và nhận
email.


7


1.4. Khái quát về bảo mật email sử dụng hệ thống cung cấp chứng chỉ số
1.4.1. Thực trạng sử dụng dịch vụ thư điện tử (email) và những nguy cơ mất
an toàn thông tin khi gửi nhận mail
Email là dịch vụ mạng được coi trọng và sử dụng rộng rãi nhất thế giới.Trung bình một nhân viên văn phòng gửi đi 3.840 email/năm - tương đương với
158.064 email trong suốt cuộc đời làm việc của người này. Trong một vài năm
trở lại đây, hạ tầng truyền thông IT ngày càng được mở rộng khi người sử dụng
dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối
tác kinh doanh cũng như việc khách hàng sử dụng Email trên các mạng công
cộng. Ngoài ra, email cũng là một hình thức đặc trưng nhất trong năm hình thức
giao dịch của thương mại điện tử. Với thương mại điện tử, email được dùng như
là một công cụ thông dụng nhất để giao tiếp với đối tác kinh doanh, với khách
hàng, thu thập thông tin khách hàng, có những chiến lược quảng cáo, giới thiệu
sản phẩm, những dịch vụ hữu ích một cách nhanh nhất. Người ta cũng có thể
trao đổi thông tin đặt đơn mua hàng, những thông tin cần thiết trước một giao
ước. Tóm lại mọi giao dịch, trao đổi đều có thể thông qua thư điện tử. Tuy nhiên
trên môi trường truyền thông này, ngoài mặt tích cực Internet cũng tiềm ẩn
những tiêu cực của nó đối với vấn đề bảo vệ thông tin[ CITATION Trị \l 1033 ].
Theo các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo
mật nước ngoài như Mcafree, Kaspersky hay CheckPoint…, năm 2011 Việt
Nam tiếp tục được nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế,
trong giới truyền thông và các hãng bảo mật. Nguy cơ mất an toàn thông tin tại
Việt Nam đang ngày càng tăng lên khi đã rơi vào top 10 quốc gia có nguy cơ
mất an toàn thông tin cao nhất trong năm 2010.
Việc hack địa chỉ email của ai đó là một việc rất thú vị đối với các loại hình
tội phạm thông tin cá nhân. Thứ rõ ràng nhất mà những hacker này muốn là tăng
truy cập vào các cuộc chuyện trò riêng tư, lấy trộm các dữ liệu và thông tin cá
nhân nhạy cảm. Bên cạnh đó hacker cũng có thể xóa các tin nhắn với ý đồ muốn
phá hủy các thông tin có giá trị.[ CITATION Pha \l 1033 ]
Với những người dùng online thông thường, mối đe dọa nghiêm trọng nhất
khi email bị hack là tội phạm có thể sử dụng tài khoản của họ nhằm tìm kiếm

chìa khóa để mở các tài khoản trực tuyến khác, chẳng hạn như các dịch vụ tài
chính Banking và PayPal. Nhiều website có các portal đăng nhập an toàn, cho
phép người dùng có thể lấy lại được username hoặc password bị quên. Khi các
site này gửi thông tin đó đến tài khoản email đã được đăng ký của bạn, nó được
cho là chỉ mình bạn có thể truy cập vào tài khoản đó. Một hacker đã hack được
tài khoản email nào đó sẽ có thể tăng truy nhập trực tiếp đến nhiều thứ từ tài
khoản Facebook đến các tài khoản đầu tư, banking và các tiện ích khác. Theo
cách nói của hacker, các phần mềm đánh hơi (sniffer) chính là kiểu phần mềm
có thể thông dịch dữ liệu di chuyển trong mạng. Phụ thuộc vào mức độ an toàn
của mạng mà nó có thể đánh hơi các kết nối không dây và chạy dây. Việc đánh
hơi có thể cực kỳ hữu dụng cho việc tìm kiếm ra các thông tin mật khẩu và đăng
nhập khi nó được truyền tải trong mạng.


8

Ngày 9-9, một cơ sở dữ liệu chứa gần 5 triệu tài khoản Gmail của Google
bao gồm tên người dùng và mật khẩu đã xuất hiện trên một diễn đàn của Nga.
Người tiết lộ danh sách này cho biết hơn 60% mật khẩu trong số đó vẫn đang
hoạt động. Với danh sách này, ai cũng có thể sử dụng tên người dùng và mật
khẩu để đăng nhập tài khoản Gmail của người khác một cách dễ dàng. Đại diện
Ban Quản trị website bảo mật SecurityDaily của Việt Nam (thành viên Hiệp hội
An toàn thông tin Việt Nam - VNISA) cho biết trong 5 triệu tài khoản bị tiết lộ,
các chuyên gia công nghệ đã thống kê có khoảng 50.000 tài khoản Gmail là của
người dùng Việt Nam.[ CITATION Trị \l 1033 ]
Như vậy nguy cơ mất an toàn thông tin là một vấn đề đáng lo ngại. Chính
vì vậy việc bảo mật khi truyền tin qua mạng Internet hiện nay là vô cùng cần
thiết.
1.4.2. Một số biện pháp bảo mật email
1.4.2.1. Biện pháp thông thường cho người sử dụng

- Hạn chế tối đa việc sử dụng máy tính cá nhân truy cập hòm thư điện tử
công vụ thông qua mạng Internet không quen thuộc như mạng không dây tại
quán ăn, quán nước giải khát...
- Không sử dụng hòm thư điện tử công vụ do cơ quan cấp cho mục đích cá
nhân như đăng ký dịch vụ thương mại, dịch vụ trao đổi chia sẻ thông tin cá
nhân.
- Không đặt chế độ chuyển thư tự động từ hòm thư điện tử công vụ được
cấp tới hòm thư khác không phải do các cơ quan nhà nước cấp.
- Hạn chế sử dụng ứng dụng duyệt thư điện tử có sẵn trên các thiết bị di
động như smartphone hoặc máy tính bảng để truy cập vào hòm thư điện tử công
vụ được cấp.
- Luôn chú ý cảnh giác với những thư điện tử có nội dung, nguồn gốc khả
nghi và tiến hành kiểm tra và xử lý thư giả mạo theo hướng dẫn kiểm tra thư giả
mạo của VNCERT.
- Đánh dấu Spam ngay khi nhận được các thư rác.
- Không gửi, nhận tệp tin thực thi (.exe) qua hệ thống thư điện tử và hạn
chế việc dùng tệp tin nén có mã hóa.
- Xóa thư khi không còn cần thiết để tránh bị mất mát thông tin nếu tài
khoản bị lộ.
- Sử dụng mật khẩu đủ mạnh.
Các biện pháp bảo vệ email trên chỉ làm hạn chế một phần các mối đe dọa
từ tội phạm công nghệ cao, nên chưa phải là biện pháp tối ưu để bảo mật thông
tin. Dưới đây là một số biện pháp bảo mật email chuyên nghiệp hơn như: sử
dụng hệ mật mã để mã hóa dữ liệu, đặc biệt là bảo mật email sử dụng hệ thống
cung cấp chứng chỉ số được đánh giá cao và ứng dụng nhiều trong thực tế.


9

1.4.2.2. Bảo mật email sử dụng hệ thống cung cấp chứng chỉ số

Hệ thống cung cấp chứng chỉ số cùng các công nghệ ứng dụng của nó có
thể được coi là một giải pháp tổng hợp và độc lập có thể sử dụng giải quyết vấn
đề về bảo mật email.
Trước tiên ta hãy tìm hiểu về qui trình mã hóa và giải mã dữ liệu. Ví dụ A
có một thông tin quan trọng muốn gửi cho B có nội dung là "GC Com Co"
chẳng hạn và A muốn mã hóa dữ liệu ra chứ không gửi tường minh như vậy, nên
A sẽ đặt ra một khóa ví dụ là "1" (Key=1) chẳng hạn và tiến hành mã hóa nó
thành một chuỗi đại khái "JKHeifuyoiuIOYUOf". Khi đó B nhận được thông tin
từ A gửi cho vẫn là một chuỗi ký tự rườm rà trên. Để giải mã tất nhiên B phải có
Key mà A cung cấp cho thì mới có thể đọc được nội dung này, đây chính là kiểu
mã hóa đối xứng. Có 2 cách mã hóa và giải mã dữ liệu là mã hóa đối xứng và
mã hóa không đối xứng như sau:[ CITATION Pha \l 1033 ]
Mã hóa đối xứng:
Ví dụ về mã hóa đối xứng như đã nói ở trên, với cách này tưởng chừng như
an toàn nhưng lại tồn tại những nhược điểm lớn mà hiện tại người ta không chọn
hình thức mã hóa và giải mã kiểu này, vì nếu như một ai đó có được Key này họ
sẽ đọc được toàn bộ dữ liệu mà trước đó ta đã mã hóa hơn nữa trong thực tế A
không chỉ có một mình B là đối tác mà có đếm hàng trăm hàng nghìn đối tác
khác nữa. Với mỗi đối tác A phải có một Key riêng cho đối tác đó, A cũng phải
lưu trữ chừng ấy khóa mà phía đối tác cấp cho.

Hình 1.1. Mô hình mã hóa đối xứng

Ví dụ: A gửi một gói tin tên là Data cho B đã được mã hóa với Key = 1 cho
ra kết quả là gói tin Data’ B nhận được gói tin trên và tiến hành giải mã với Key
trên và thu được Data ban đầu.


10


Hình 1.2. Mô hình mã hóa và giải mã với hệ mã hóa đối xứng

Tuy nhiên vì một lý do nào đó C nhặt được gói tin Data’ và Key của A gửi
cho B. Khi đó nó tiến hành giải mã và sửa thông tin sau đó nó tiếp tục mã hóa
với Key trên và gửi cho B. Vì vậy thông tin mà B nhận hoàn toàn bị sai lệch
không đáng tin cậy nhưng bản thân B cũng không biết.

Hình 1.3. Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa đối xứng

Trước nguy cơ đó người ta đưa ra cách mã hóa dữ liệu thứ 2
Mã hóa không đối xứng:
Người ta chứng minh rằng luôn tồn tại 2 số P,Q với P # Q. Khi mã hóa dữ
liệu với P người ta đem kết quả thu được giải mã với Q sẽ thu được dữ liệu ban
đầu và ngược lại
Với qui trình này mỗi người dùng sử dụng công nghệ mã hóa sẽ chỉ cần 2
khóa mà thôi ví dụ A sử dụng công nghệ mã hóa nên A có:
Khóa PA gọi là Public Key khóa này là khóa công khai mọi người đều có
thể xem và sử dụng khóa này
Khóa QA gọi là Private Key khóa này là khóa bí mật chỉ có mình A là có
thể xem và sử dụng khóa này
Vì vậy khi A gửi gói tin Data cho B nó sẽ dùng Public Key PB của B để mã
hóa và cho ra kết quả là Data’


11

Khi đó B thu được Data’ nó dùng Private Key của riêng mình để giải mã dữ
liệu và thu được Data ban đầu.

Hình 1.4. Mô hình mã hóa và giải mã với hệ mã hóa không đối xứng


Tuy nhiên cách này vẫn chưa thực sự an toàn vì A chỉ lấy Public Key PB
của B sử dụng mà không xác minh tính xác thực của nó có đúng là của B hay
không. Khi đó với một thủ thuật nào đó C lấy Public Key PC của mình chèn vào
Public Key PB của B nhằm đánh lừa A. Như vậy vô tình thay vì A dùng PB của
B thì nó lại lấy PC của C để mã hóa dữ liệu, lúc này C sẽ lấy gói tin đã mã hóa
trên và tiến hành giải mã bằng khóa bí mật của nó sau đó khai thác thông tin và
chỉnh sửa nội dung. Tiếp đến nó lấy nội dung đã chỉnh sửa đó mã hóa với PB
của B và gửi đến B. Như vậy thông tin mà A gửi cho B đến lúc này vẫn chưa
thực sự an toàn.[ CITATION Pha \l 1033 ]

Hình 1.5. Nguy cơ mất an toàn thông tin khi dùng hệ mã hóa không đối xứng


12

Trước nguy cơ đó, Microsoft đã xây dựng cho ta công cụ Certificate
Authority đóng vai trò như một nhà cấp phát giấy chứng thực và quản lý các
thông tin chứng thực ấy. Như vậy vấn đề ở đây là ta phải dựng một CA Server
chuyên cấp các chứng thực cho người dùng, trên thực tế các CA Server do ta xây
dựng mà ta xây dựng sẽ không được người sử dụng tin tưởng mà có hẳn các
công ty chuyên cung cấp CA Server mà các hãng phần mềm lớn như
google.com, yahoo.com vẫn thuê để sử dụng. Tuy nhiên vì chúng ta đang nghiên
cứu nên để tiết kiệm chi phí ta sẽ tự xây dựng một CA Server riêng.
Với CA Server bản thân nó cũng có một bộ Public Key và Private Key của
riêng mình. Khi A, B, C...muốn gửi thông tin cho nhau phải thông qua CA
Server này để xin cấp giấy chứng nhận cho riêng mình.
Như vậy thì nhờ có CA Server xác thực nên ta có thể bảo mật tuyệt đối
thông tin trong giao dịch, chứng thực được tính đúng đắn về pháp lí của thực thể
tham gia trao đổi thông tin, ngoài ra còn đảm bảo thực thể không thể phủ nhận

hay chối bỏ trách nhiệm của họ về những hoạt động giao dịch trên Internet…
Qui trình này như sau: CA Server sẽ lấy thông tin Public Key của người dùng
nào đó gọi là CRC hay thông tin đặc trưng của người dùng đó. Kế tiếp nó mã
hóa CRC này với chính Private Q của nó cho ra một giá trị S và giá trị này được
công khai. Như vậy lúc này mỗi tài khoản người dùng sẽ tồn tại 2 Public Key và
1 Private Key.

Hình 1.6. CA xác thực thông tin cho A


13

Chương 2. CHỨNG CHỈ SỐ VÀ CƠ SỞ HẠ TẦNG MÃ HÓA CÔNG
KHAI
2.1. Chứng chỉ số

Hình 2.7. Chứng chỉ số

Có nhiều loại chứng chỉ, một trong số đó là:
- Chứng chỉ khóa công X.509.
- Chứng chỉ khóa công đơn giản (Simple Public Key Certificates – SPKC).
- Chứng chỉ Pretty Good Privacy (PGP).
- Chứng chỉ thuộc tính (Attribute Certificates – AC).
Tất cả các loại chứng chỉ này đều có cấu trúc định dạng riêng. Hiện nay
chứng chỉ khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệ
thống PKI. Hệ thống chương trình cấp chứng chỉ số thử nghiệm cũng sử dụng
định dạng chứng chỉ theo X.509, nên chuyên đề này tập trung vào xem xét chi
tiết chứng chỉ công khai X.509. Trong chuyên đề, thuật ngữ chứng chỉ
“certificate” được sử dụng đồng nghĩa với chứng chỉ khóa công khai X.509
v3[ CITATION Ada \l 1033 ].

2.1.1. Chứng chỉ khóa công khai X.509 v3
Chứng chỉ X.509 v3 là định dạng chứng chỉ được sử dụng phổ biến và
được hầu hết các nhà cung cấp sản phẩm PKI triển khai.
Chứng chỉ khóa công khai X.509 được Hội viễn thông quốc tế (ITU) đưa ra
lần đầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500.
Chứng chỉ gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải có
trong chứng chỉ. Phần thứ hai chứa thêm một số trường phụ, những trường phụ


14

này được gọi là trường mở rộng dùng để xác định và đáp ứng những yêu cầu bổ
sung của hệ thống. Khuôn dạng của chứng chỉ X.509 được chỉ ra như trong hình
2.2 dưới đây:

Hình 2.8. Khuôn dạng chứng chỉ X.509

2.1.1.1. Những trường cơ bản của chứng chỉ X.509
- Version number: xác định số phiên bản của chứng chỉ.
- Certificate Serial Number: do CA gán, là định danh duy nhất của chứng
chỉ.
- Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ.
Có thể là thuật toán RSA hay DSA…
- Issuer: chỉ ra CA cấp và ký chứng chỉ.
- Validity Period: khoảng thời gian chứng chỉ có hiệu lực. Trường này xác
định thời gian chứng chỉ bắt đầu có hiệu lực và thời điểm hết hạn.
- Subject: xác định thực thể mà khóa công khai của thực thể này được xác
nhận. Tên của subject phải duy nhất đối với mỗi thực thể CA xác nhận.
- Subject public key information: chứa khóa công khai và những tham số
liên quan; xác định thuật toán (ví dụ RSA hay DSA) được sử dụng cùng với

khóa.
- Issuer Unique ID (Optional): là trường không bắt buộc, trường này cho
phép sử dụng lại tên người cấp. Trường này hiếm được sử dụng trong triển khai
thực tế.
- Subject Unique ID (Optional): là trường tùy chọn cho phép sử dụng lại
tên của subject khi quá hạn. Trường này cũng ít được sử dụng.
- Extensions (Optional): chỉ có trong chứng chỉ v.3.


15

- Certification Authority’s Digital Signture: chữ ký số của CA được tính từ
những thông tin trên chứng chỉ với khóa riêng và thuật toán ký số được chỉ ra
trong trường Signature Algorithm Identifier của chứng chỉ.
Tính toàn vẹn của chứng chỉ được đảm bảo bằng chữ ký số của CA trên
chứng chỉ. Khóa công khai của CA được phân phối đến người sử dụng chứng
chỉ theo một số cơ chế bảo mật trước khi thực hiện thao tác PKI. Người sử dụng
kiểm tra hiệu lực của chứng chỉ được cấp với chữ ký số của CA và khóa công
khai của CA.[ CITATION Pha \l 1033 ]
2.1.1.2. Những trường mở rộng của chứng chỉ X.509
Phần mở rộng là những thông tin về các thuộc tính cần thiết được đưa vào
để gắn những thuộc tính này với người sử dụng hay khóa công. Những thông tin
trong phần mở rộng thường được dùng để quản lý xác thực phân cấp, chính sách
chứng chỉ, thông tin về chứng chỉ bị thu hồi… Nó cũng có thể được sử dụng để
định nghĩa phần mở rộng riêng chứa những thông tin đặc trưng cho cộng đồng
nhất định. Mỗi trường mở rộng trong chứng chỉ được thiết kế với cờ “critical”
hoặc “uncritical”.
- Authority Key Indentifier: Chứa ID khóa công khai của CA, ID này là
duy nhất và được dùng để kiểm tra chữ ký số trên chứng chỉ. Nó cũng được sử
dụng để phân biệt giữa các cặp khóa do một CA sử dụng (trong trường hợp hết

CA có nhiều hơn một khóa công khai). Trường này được sử dụng cho tất cả các
chứng chỉ tự ký số (CA – certificates).
- Subject Key Identifier: Chứa ID khóa công khai có trong chứng chỉ và
được sử dụng để phân biệt giữa các khóa nếu như có nhiều khóa được gắn vào
trong cùng chứng chỉ của người sử dụng (Nếu chủ thể có nhiều hơn một khóa
công khai).
- Key Usage: Chứa một chuỗi bit được sử dụng để xác định (hoặc hạn chế)
chức năng hoặc dịch vụ được hỗ trợ qua việc sử dụng khóa công khai trong
chứng chỉ.
- Extended Key Usage: Chứa một hoặc nhiều OIDs (định danh đối tượng
Object Identifier) để xác định cụ thể việc sử dụng khóa công trong chứng chỉ.
Các giá trị có thể là: (1) xác thực server TLS, (2) xác thực client TLS, (3) Ký
Mã, (4) bảo mật e-mail, (5) Tem thời gian.
- CRL Distribution Point: Chỉ ra vị trí của CRL tức là nơi hiện có thông tin
thu hồi chứng chỉ. Nó có thể là URL (Uniform Resource Indicator), địa chỉ của
X.500 hoặc LDAP server.
- Private Key Usage Period: Trường này cho biết thời gian sử dụng của
khóa riêng gắn với khóa công khai trong chứng chỉ.
- Certificate Policies: Trường này chỉ ra dãy các chính sách OIDs gắn với
việc cấp và sử dụng chứng chỉ.


16

- Policy Mappings: Trường này chỉ ra chính sách xác thực tương đương
giữa hai miền CA. Nó được sử dụng trong việc thiết lập xác thực chéo và kiểm
tra đường dẫn chứng chỉ. Trường này chỉ có trong chứng chỉ CA.
- Subject Alternative Name: Chỉ ra những dạng tên lựa chọn gắn với người
sở hữu chứng chỉ. Những giá trị có thể là: địa chỉ e-mail, địa chỉ IP, địa chỉ
URI…

- Issuer Alternative Name: Chỉ ra những dạng tên lựa chọn gắn với người
cấp chứng chỉ.
- Subject Directory Attributes: Trường này chỉ ra dãy các thuộc tính gắn với
người sở hữu chứng chỉ. Trường mở rộng này không được sử dụng rộng rãi. Nó
được dùng để chứa những thông tin liên quan đến đặc quyền.
- Basic Constraints Field: Trường này cho biết đây có phải là chứng chỉ CA
hay không bằng cách thiết lập giá trị logic (true). Trường này chỉ có trong chứng
chỉ CA.
Chứng chỉ CA dùng để thực hiện một số chức năng. Chứng chỉ này có thể ở
một trong hai dạng. Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này được
gọi là chứng chỉ CA tự ký. Khi một CA mới được thiết lập, CA tạo ra một chứng
chỉ CA tự ký để ký lên chứng chỉ của người sử dụng cuối trong hệ thống. Và
dạng thứ hai là CA cấp chứng chỉ cho những CA khác trong hệ thống.
- Path Length Constraint: trường này chỉ ra số độ dài tối đa của đường dẫn
chứng chỉ có thể được thiết lập. Giá trị “zero” chỉ ra rằng CA chỉ có thể cấp
chứng chỉ cho thực thể cuối, không cấp chứng chỉ cho những CA khác. Trường
này chỉ có trong chứng chỉ của CA.
- Name Constrainsts: được dùng để bao gồm hoặc loại trừ các nhánh trong
những miền khác nhau trong khi thiết lập môi trường tin tưởng giữa các miền
PKI.
- Policy Constrainsts: được dùng để bao gồm hoặc loại trừ một số chính
sách chứng chỉ trong khi thiết lập môi trường tin tưởng giữa các miền PKI.
2.2. Lợi ích của chứng chỉ số
2.2.1. Bảo mật thông tin
Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi
đã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạn mới giải
mã được thông tin để đọc. Trong quá trình truyền thông tin qua Internet, dù có
bắt được các gói tin đã mã hoá này, kẻ xấu cũng không thể biết được trong gói
tin có thông tin gì. Đây là một tính năng rất quan trọng, giúp người sử dụng
hoàn toàn tin cậy về khả năng bảo mật thông tin. Những trao đổi thông tin cần

bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán
bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn.


17

2.2.2. Chống giả mạo
Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sử
dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị thay đổi
hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp gốc đều
sẽ bị phát hiện. Địa chỉ mail của bạn, tên domain... đều có thể bị kẻ xấu làm giả
để đánh lừa người nhận để lây lan virus, ăn cắp thông tin quan trọng. Tuy nhiên,
chứng chỉ số thì không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ
số luôn đảm bảo an toàn.
2.2.3. Xác thực
Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận - có thể là đối tác
kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ được danh tính
của bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ thống chứng chỉ số
mà bạn và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó là bạn chứ
không phải là một người khác. Xác thực là một tính năng rất quan trọng trong
việc thực hiện các giao dịch điện tử qua mạng, cũng như các thủ tục hành chính
với cơ quan pháp quyền. Các hoạt động này cần phải xác minh rõ người gửi
thông tin để sử dụng tư cách pháp nhân. Đây chính là nền tảng của một Chính
phủ điện tử, môi trường cho phép công dân có thể giao tiếp, thực hiện các công
việc hành chính với cơ quan nhà nước hoàn toàn qua mạng. Có thể nói, chứng
chỉ số là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử.
2.2.4. Chống chối cãi nguồn gốc
Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về
những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối cãi,
phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn một đơn đặt

hàng qua mạng), chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng
định người gửi là tác giả của thông tin đó. Trong trường hợp chối cãi, CA cung
cấp chứng chỉ số cho hai bên sẽ chịu trách nhiệm xác minh nguồn gốc thông tin,
chứng tỏ nguồn gốc thông tin được gửi.
2.2.5. Chữ ký điện tử
Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng ngày
của chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng. Những thông điệp có thể gửi
đi nhanh chóng, qua Internet, đến những khách hàng, đồng nghiệp, nhà cung cấp
và các đối tác. Tuy nhiên, email rất dễ bị tổn thương bởi các hacker. Những
thông điệp có thể bị đọc hay bị giả mạo trước khi đến người nhận. Bằng việc sử
dụng chứng chỉ số cá nhân, bạn sẽ ngăn ngừa được các nguy cơ này mà vẫn
không làm giảm những lợi thế của email.
Chữ ký điện tử là đoạn dữ liệu gắn với văn bản gốc để chứng thực tác giả
của văn bản và giúp người nhận kiểm tra tính toàn vẹn của văn bản gốc.
Chữ ký điện tử được tạo ra bằng cách áp dụng thuật toán Băm một chiều
trên văn bản gốc để tạo ra bản phân tích văn bản (message digest) hay còn gọi là
fingerprint, sau đó mã hóa bằng Private Key để tạo ra chữ ký đính kèm với văn


18

bản gốc và gửi đi. Khi nhận, văn bản được tách làm 2 phần, phần văn bản gốc
được tính lại fingerprint và so sánh với fingerprint cũ cũng được phục hồi từ
việc giải mã chữ ký điện tử. Như vậy ta có thể xác định được thông điệp bị gửi
đi không bị sửa hay can thiệp trong quá trình gửi.[ CITATION Trị \l 1033 ]
Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào
email như một bằng chứng xác nhận của mình. Chữ ký điện tử cũng có các tính
năng xác thực thông tin, toàn vẹn dữ liệu và chống chối cãi nguồn gốc. Ngoài ra,
chứng chỉ số cá nhân còn cho phép người dùng có thể chứng thực mình với một
web server thông qua giao thức bảo mật SSL. Phương pháp chứng thực dựa trên

chứng chỉ số được đánh giá là tốt, an toàn và bảo mật hơn phương pháp chứng
thực truyền thống dựa trên mật khẩu.
2.2.6. Bảo mật các dịch vụ
Chứng chỉ số ứng dụng trong bảo mật VPN, Email, Website…Khi Website
của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục đích quan
trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị
lộ. Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL Server để bảo mật
cho Website của mình. Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình
Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer). Loại
chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm
đảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website.
Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật
giữa Website với khách hàng, nhân viên và đối tác của bạn thông qua công nghệ
SSL mà nổi bật là các tính năng:
- Thực hiện mua bán bằng thẻ tín dụng
- Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng
- Đảm bảo hacker không thể dò tìm được mật khẩu
2.3. Dịch vụ CA trên môi trường Windows Server 2003
2.3.1. Các dịch vụ chứng chỉ CA
Chữ ký điện tử: Sử dụng để xác nhận người gửi thông điệp, file hoặc dữ
liệu khác. Chữ ký điện tử không hỗ trợ bảo vệ dữ liệu khi truyền.
Chứng thực Internet: Có thể sử dụng PKI để chứng thực client và Server
được thiết lập nối kết trên Internet, vì vậy Server có thể nhận dạng máy client
nối kết đến nó và client có thể xác nhận đã nối kết đúng Server.
Bảo mật IP (IP Security - IPSec): Mở rộng IPSec cho phép mã hóa và
truyền chữ ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng. Triển khai
IPSec trên Windows Server 2003 không phải dùng PKI để có được mã hóa của
nó, nhưng có thể dùng PKI với mục đích này.
Bảo mật E-mail: Giao thức E-mail trên Internet truyền thông điệp E-mail ở
chế độ bản rõ, vì vậy nội dung mail dễ dàng đọc khi được truyền. Với PKI,

người gửi có thể bảo mật E-mail khi truyền bằng cách mã hóa nội dung mail


19

dùng khóa công khai của người nhận. Ngoài ra người gửi có thể ký lên thông
điệp bằng khóa riêng của mình.
Đăng nhập bằng thẻ thông minh (Smart card logon): Smart card là một thẻ
tín dụng. Windows Server 2003 có thể dùng Smart card như là một thiết bị
chứng thực. Smart card chứa chứng chỉ của user và khóa riêng, cho phép người
dùng logon tới bất kỳ máy nào trong doanh nghiệp với độ an toàn cao.
Software code signing: Kỹ thuật Authenticode của Microsoft dùng chứng
chỉ để chứng thực những phần mềm người dùng download và cài đặt chính xác
là của tác giả và không được chỉnh sửa.[ CITATION Pha \l 1033 ]
Xác thực mạng không dây (Wireless network authentication): Khi cài đặt
một LAN wireless, phải chắc chắn rằng chỉ người dùng chứng thực đúng thì mới
được nối kết mạng và không có ai có thể nghe lén khi giao tiếp trên wireless. Có
thể sử dụng Windows Server 2003 PKI để bảo vệ mạng wireless bằng cách nhận
dạng và chứng thực người dùng trước khi họ cần truy cập mạng.
2.3.2. Các loại CA trên Windows Server 2003
Trên windows Server 2003 có hai loại CA Enterprise và Stand - alone:
Enterprise: Enterprise CAs được tích hợp trong dịch vụ Active Directory.
Chúng sử dụng mẫu chứng chỉ, xuất bản (publish) chứng chỉ và CLRs đến
Active Directory, sử dụng thông tin trong cơ sở dữ liệu Active Directory để chấp
nhận hoặc từ chối yêu cầu cấp phát chứng chỉ tự động. Bởi vậy client của tổ
chức CA phải truy xuất đến Active Directory để nhận chứng chỉ, nhiều tổ chức
CA không tích hợp cho việc cấp phát chứng chỉ cho các client bên ngoài tổ
chức.
Stand-alone: Stand-alone CAs không dùng mẫu chứng chỉ hay Active
Directory chúng lưu trữ thông tin cục bộ của nó. Hơn nữa, mặc định, stand-alone

CAs không tự động đáp lại yêu cầu cấp phát chứng chỉ số giống như enterprise
CAs làm. Yêu cầu chờ trong hàng đợi để chờ người quản trị chấp nhận hoặc từ
chối bằng tay.
Dù người dùng chọn tạo ra một enterprise CA hay là một stand-alone CA,
đều phải chỉ rõ CA là gốc (root) hay cấp dưới (subordinate)
2.3.3. Cấp phát và quản lý các chứng chỉ số
2.3.3.1. Cấp phát tự động (Auto-Enrollment)
Auto-Enrollment cho phép client yêu cầu tự động và nhận chứng chỉ số từ
CA mà không cần sự can thiệp của người quản trị, để dùng Auto-Enrollment thì
phải có Domain chạy Windows Server 2003, một enterprise CA chạy Windows
Server 2003 và client có thể chạy Windows XP Professional. Điều khiển tiến
trình Auto-Enrollment bằng sự phối hợp của roup policy và mẫu chứng chỉ số.
Mặc định, Group Policy Objects (GPOs) cho phép Auto-Enrollment cho tất
cả các người dùng và máy tính nằm trong Domain. Để cài đặt, bạn mở chính
sách cài đặt Auto-Enrollment, nằm trong thư mục Windows Settings\ Sercurity


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×