LUAN VAN Tim hiéu co sé ha tang mat ma khoa cong khai va img dung LI W/W WWW WWW WWW WWW Wl ll ol WW aMO BAU 1. Ly do chon dé tai Ching ta da biét ring hign nay Nha nuéc ta dang tién hanh cai cach hanh chinh, trong dé vige x4y dung mt chinh phi dign tir déng mot vai trd trong tam, Noi dén chinh phi dién tir la ndi dén nhing van dé nhu vé ha ting may tinh, vé con ngudi, vé td chitc, vé chinh sich, vé an toan — an ninh théng tin. Trong 46 dim bio an to’n — an ninh théng tin cho cde dich vu dong mét vai tré quan trong vi néu théng tin ma khéng dim bao an ninh — an toan, dic bigt 18 nhiing thong tin nhay cdm thi vie xy dyng chinh phi dign ti, thuong mai dign tw tro nén v6 nghia vi Igi bét e4p hai. Xy dung mt chinh sch, dam bao an ninh — an toan thong tin lién quan chat ché dén viée x4y dung mdt hé théng co sé ha ting mat ma khod céng khai, viét tit li PKI (Public Key Infrastrueture). Trong thdi dai cng nghé thong tin thi gidy té kh6ng phai la céch duy nhit chimg nhan thoa thuan giita cdc bén. O nhiéu nude tién tién, cdc thod thudn thong qua hé théng thdng tin dign tir gitta céc bén 43 duge hyp phap hod va c6 gid tri tuong duong véi cdc thoa thuan thong thuong vé mat php ly. Sy kién nay danh déu mot bude nhay quan trong trong viée phat trién chinh phi dign ti, thuong mai dign tir, Tuy nhién cho dén nay cde dy an van chua duge trién khai rng rai, do nhiéu nguyén nhin khée nhau. M6t trong nhiing nguyén niin quan trong 46 Ki ngudi ding vin luén cam thdy khéng an tim khi sir dung hé théng. Ching han khi gui miu tin c6 thé 14 vain ban, hinh anh, video....ngudi nhdn cé quyén nghi ngo: Thong tin d6 06 phai la cua déi téc khong, né c6 bj xm pham va nhimg ngudi khée c6 thé gidi ma n6 duge khéng.... Nhig van dé dat ra nay thu hit sit chit ¥ ctia nhiéu nha Khoa hoc trong inh vye nghién ciu bio mét théng tin. Day cing chinh la nguyén nhan gidi thich tai sao PKI ngay cng duge chi trong nghién ciru, phat trién, Dén nay cc nudc tién tién trén thé gidi da img dung thanh céng PKI. 6 chau A nhiéu nude cing da cé nhimg img dung tuy mite d6 khic nhau nhu 6 Singapore, Han Quéc, Trung Quéc, Thai Lan... Trong d6 Sigapore, Hin Quéc sin sing tai trochin, ky thudt, chuyén gia trong inh vue mat mA sang gip Viet Nam xy dumg hé théng PKI. Do day 1A mét van 4@ méi, nhay cam, gin lién véi bao mit théng tin nén ching ta can nhimg tim hiéu sdu sac va than trong vé van dé nay. Day 1a van dé cp thiét nén ching ta khong thé khong tién hanh nghién citu. La nhiing ky su céng nghé thong tin trong twong lai, ching ta e6 nhigm vy nghién ctru, tim hiéu su sic hon vin dé quan trong va cp bach nay nhim gp phin dam bio an ninh — an toan théng tin, digu nay cng c6 ¥ nghia khi ching ta hoi nh§p WTO, lam chi duge céng nghé nay gidp git ving an ninh quéc gia, thic diy phat trién kinh té - x hdi. ‘Xudt phat tir ly do trén, duoc sy nhit tri cua nha trudng va thay giéo hung dan, em da chon dé tai “Tim hiéu co sé ha ting mat ma khoa céng khai va img dyng” lam dé tai khoa ludn t6t nghiép cia minh. 2. Mye dich nghién eitu. ~ Nghién ettu, dinh gid, phan tich ede gidi thugt mat ma dién hinh ~ Nghién eifu cdc thinh phin ciia PKI va nhig img dung cia nd, 3. Déi twgng, pham vi nghién ciru. - Cac giai thuat ma déi ximg, phi déi ximg, him bam, chit ky sé 4, Phuong phap nghién ciru. - Nghién citu cdc ly thuyét co ban lién quan dén ma hod, mat ma. ~ Tham Khao tai ligu, tng hgp, danh gid. 5. Bé cyc dé tai bao gom: ‘Myc luc, danh myc tir viét tit, danh muc hinh vé, mé dau, ndi dung, két ludn, danh mue tai ligu tham khao. Phan n6i dung gém 2 phan chia kim 5 chuong, trong d6 phan A (chuong 1, 2) la nhiing kién thirc chung vé mat ma, phan B (Chuong 3, 4, 5) la vé co sé ha ting mat ma khod céng khai va img dung. Chwong 1: LY THUYET MAT MA. Gi6i thigu vé lich sir hinh thanh cém m§t ma; ede khai nigm eo ban trong mat ma; déng théi trinh bay vé hé mat ma déi ximg, hé mat ma cong khai, wu nhugediém ctia cde hé mat ma nay; khdi niém vé hé mat RSA, Elgamal. Day 1a nhing kiém thite nén tang gidp ban hiéu duge PKI. Chwong 2: XAC THYC, CHU KY SO VA HAM BAM. Trinh bay céc khai é trén RSA va Elgamal; kh é, chit ky sé dura ham bam dién hinh, Xéc thyc, chit ky sé va nhimg img dung cy thé nhat, thuéng gap khi xay dumg hi hong PKI; ham bam 18 m@t ky thugt ma hod khéng thé thiéu khi nghién ciru, xy dung cdc hé théng gitip dam bao an ninh — an toan thong tin. Chwong 3: CO SO HA TANG MAT MA KHOA CONG KHAIL. Téng quan vé PKI, co sé Ii ludn, chite nang cia PKI. Chong nay trinh bay nhiing kién thc co ban lién quan d&n PKI va giai thich tai sao ching ta lai phai xay dung hé théng PKI. Chwong 4: CHUNG CHi SO. Trinh bay cdc khdi nigm lién quan, chite nding nhigm vy cia CA, phin loai CA. Chung chi sé la phan dic biét quan trong cua PKI, chuong nay trinh bay cu thé vé chimg chi s6 CA. Chwong 5: UNG DUNG. Trinh bay nhimng img dung trong dich vu web, emailPHAN A: NHUNG KIEN THUC BO TRG. Chuong 1: LY THUYET MAT MA, 1.1, GIO THIEU Mat ma da duge con ngudi sir dung tir rat au, khi nghién ciru vé nén van minh Ai Cép c6 dai ngudi ta da tim duge bing chimg ching minh hinh thire mat ma so khai, né céch day khoing 4 nghin nan trude. Trai qua hang nghin nim mt ma vin duge sir dung rong rai 6 cic quéc gia khac nhau trén thé gici dé gitt bi mat trong qué trinh trao déi thong tin trong nhiéu linh vyc hoat dGng giita con ngudi, gitta cdc quéc gia dac biét trong Tinh vue ngoai giao, quan sy, kinh té. Mat ma khod céng khai (PKI) 1a m6t ming quan trong trong mat ma, ban chat ctia PKI dé 1a hé théng céng nghé vira mang tinh tiéu chuan, vira mang tinh img dung 4é khéi tao, lu trit va quan ly cde chimg chi s6, Vao nam 1995 ngudi ta dua ra sing kién thiét lap PKI khi ma chinh phi cdc nuéc, cic doanh nghiép dang cdn mt chudn dé dim bao dit ligu truyén trén mang duge an toan. ‘Cho dén nay, sau hon 10 nim hinh thanh va phat trién, dan dan cdc ¥ tuong hoa vé PKI da di vao hign thyc, nhiéu chuan dam bao théng tin trén mang da ra dai. Mét sé két qua tir sang kién PKI nhu la: SSL/TLS ( Secure Sockets Layer/ ‘Transport Layer Security) hoe nhur VPN (Virtual Private Network), 1.2. CAC KHAI NIEM BAN DAU A muén giti théng digp cho B thi c6 thé cé al cach khée nhau nhur the tin, mal, fix... va 06 thé thong qua mt ngudi trang gian, tie 1 thong tn ndy 08 thé bi nguvi khéc biét duge. Vin dé dit ra li am thé nao théng digp A giti cho B chi c6 B doc durgc? Dé lam duro digu nay thi A sé tién hh mi hod théng digp 46 va giri cho B doan 43 ma hod, B sé gidi ma duge dogn ma hod nay théng qua quy ude (Khod chung) gitta hai ngudi, do 46 ngudsi C nhan doe céing khong biét thong tin trong 46. Khoa chung 4 due goi la khod mat mai, ta e6 mét sé Khai nigm lién quan: ~ Ma hoa: La qua trinh chuyén cdc théng tin théng thudmg (van ban r6) thanh dang khéng doc durge (van bin ma), ~ Giai mat ma: La qué trinh nguoc lai, phyc hdi vn ban thudng tir vain ban mi.- Thugt ton giai ma: Nguge lai dé giai ma ta cin mét thudt ton va khod bi mit tong tg dé gidi ma ban ma. 1.3. HE MAT MA Ly thuyét mat ma 1a khoa hoc nghién ctru cdch viét bi mat, trong 46 céc ban 18 (plain text, clear text) duge bién ddi thinh ce ban ma (cipher text, cryptogram). Qué trinh bién d4i 46 goi la syr ma hod (encipherment, encryption). Qua trinh nguge Iai bién ddi tir bin ma thinh ban 15 duge goi la sy gidi ma (decipherment, decryption). Ca hai qua trinh néi trén déu duge diéu khién bai mét (hay nhiéu) khoa ‘mat ma, Mat ma duge sir dung dé bao vé tinh bi mat ciia thong tin khi théng tin durge truyén trén cdc kénh truyén thong céng c6ng nhur cae kénh buu chinh, dign thoai, mang truyén théng may tinh, mang internet, .... Gi sir mot ngudi giri A mudn giti dén mot ngudi nhgn B mét van ban (ching han, m9t bite thu) p, dé bio mat A lap cho p mot bin m§t mi ¢ va thay cho vige giti p, A giri cho B ban mat ma ¢, B nhan duge ¢ va “giai ma’ ¢ dé lai duge van ban p nhu A dinh gu. Dé A bién p thanh ¢ va n nguge Iai ¢ thinh p, A va B-phai thoa thugn trade véi nhau céc thuat ton lap ma va giai ma va dac bigt mot khod mat ma chung K dé thye hign céc thuat toan 6. Ngudi ngoai, khong biét céc théng tin d6 (dae bigt khong biét khod K), cho di cé Ky trom duoc ¢ trén kénh truyén théng céng céng, cing khéng thé tim duge van ban p ma hai ngudi A, B mudn giti cho nhau, Sau day ra sé cho mt dinh nghia hinh thire vé hé théng mat ma va cach thire thye hign dé lap ma va giai mat ma. Dinh nghia Hi mi duge dinh nghia la mot b6 nam (P, C, K, E, D) trong dé: P la tap hiu han cac ban 16 cé thé. Cla K la tap hitu han cae khod cé thé. E la tp cdc ham lap ma. ip hitu han cae ban ma cé thé. D Ia tap cdc ham giai ma. Véi mdi k 1 K, cé m@t han lip mi @, 1 E, a: P—> C va mot ham giai ma dt D, dy C+ P sao cho dy(e(x)) =x,Keyk Keyk Plaintext (X) Ciphertext (Y) plaintext (x) Hinh 1: Qué trinh ma héa va gidi ma 1.3.1 Hé ma héa khéa bi mt (hay cdn goi la Hé mat ma khéa déi xing). Cée phuong phip cé dién 43 duge biét dén tir hon 4000 nam trude. Mot sé thé ky trréc. Nhimg ky sit dung phuong phap thay ky ty nay bing ky tu khac hode dich ky thudt di duge ngudi Ai Cap cé dai sit dung tir nl thuat chit chuyén ky tyr, cdc chit cai durge sip xép theo m6t trat ty nao day. Hé mat ma DES duge xay dyng tai MY trong nhing nm 70 theo yéu cau cia ‘van phong quéc gia vé chudn (NBS). DES Ia sy két hgp ca 2 phuong phap thay thé ‘va dich chuyén. DES duge thye hign trén timg khoi ban ro 1a mét xéu 64 bit, co Khoa ld mét xdu 56 bit va cho ra ban mi ciing 14 m6t x4u 64 bit. Hién nay DES va bién thé ciia né la 3DES van durge sir dyng thanh céng trong nhieu finh vyc. Trong hé mgt ma déi xing chi c6 mot khoa duge chia sé gitta cée bén tham gia lién Ige. Cér méi lan truyén tin thi ca bén truyén va bén nh§n phai théa thn truéc véi nhau mét khéa chung K, sau 46 ngudi giti ding e, dé lap ma cho théng bdo giti di va ngudi nhdn sé ding dy dé giai mi. Nguéi giti va ngudi nhfin c6 chung kha K, khoa nay durge 2 bén gitt bi mat, D6 an toan cita hé mt ma bi mat phy thudc vio kha K, néu ai do biét duge khéa K thi c6 thé lap ma va giai ma théng digp.*Uu va nhuge diém cia hé mat ma khéa d6i ximg Uu diém : Uu diém co ban cia hé mat m3 khéa ddi xtmg 1a téc 49 ma hoa! gidi ma rét nhanh va chinh xdc. Vi dy mat m& DES cé 16 35Kb/s ; cua IDEA 1a 70 Kb/s. 6 ma/ gidi ma 1a Mit khac 46 an toan cita cae hé mat nay durge chimg minh 1a cao néu khong gian khéa K dit lon. Nhuge diém : Tuy nhién nhién nhuge diém co ban ctia hé mat ma khéa déi ximg 1 van dé phan phéi khéa, trao adi khéa rat phic tap vi phai str dung dén mét kénh truyén tuyét déi bi mat. Diéu nay a bat Igi khi cdc trung tim muén lién lac voi nhau nhung ho lai & edch nhau qua xa. 1.3.2. HG mit ma khéa cong khai, Dé khac phuc van dé phan phéi va théa thudn khéa cia mat ma khéa bi mat, nam 1976 Diffie va Dellman 4a dura ra khai nigm vé mat ma khéa cong khai va mét phuong php trao ddi khéa céng khai dé tao ra mét khda bi mat chung ma tinh an toin duge bio dam béi 46 khé cia mot bai toan hoc tinh ‘Logarit roi rac’. H¢ mat mi cng khai sir dung mt c§p khéa, khéa diing 48 ma héa goi la khéa cOng khai (Public key), khéa ding dé giai ma goi li khéa bi mat (Private key), vé nguyén tic thi khéa céng khai va khéa bi mit la khac nhau. Mét ngudi bat ky cé kha ning sir dung khéa céng khai dé ma héa tin nhung chi 6 ngudi e6 ding khéa bi mat thi méi giai ma duge tin do. ‘Mit ma khéa cong khai (Public key) hay con goi la mat ma bat déi ximg 1a mé hinh mi héa 2 chiéu str dung m6t cp kh6a ki khéa rigng (Private key) va khéa cong khai (Public key). Khéa céng khai duge ding dé ma héa va khéa riéng duge dang dé giai ma. - Hé théng mat ma héa khéa céng khai cé thé sir dung voi céc mye dich : + Ma ha : gibi mat thong tin va chi o6 nguisi cb khéa bi mat mei gidi ma duge. + Tao chit ky s6 : cho phép kiém tra mét van ban cé phai di duge tao véi mé6t khéa bi mit nao dé hay khéng. + Théa thugn kha : Cho phép thiét lip khéa ding dé trao d4i théng tin mat gitta 2 bén,Directory of Public Keyss Public k ALICE keyP of Bob Hinh 2: Sir dung khéa cng Khai P d@ ma héa thong digp Private key of Bob Asymmetric Cryptography BOB Hinh 3 : Sir dyng khda ring a€ gidi ma thong aigp la hg RSA. Trong céc hé mat ma khéa cOng khai thi hé RSA dugc cOng déng quéc té chip nhan va tng dung Cac hé mat ma khéa céng khai duge biét dén nhic rong rai nhat. *Uu nhuge diém ctia hg mit ma khéa cng khai, Uu diém : Uu diém chinh ciia hé ma khéa c6ng Khai la da giai quyét durge vin dé phan phéi khéa va trao déi khéa cue ky thujn Igi, Mét sé img dung quan trong va phé bién 1a xéc thyc va chit ky s6, cdi ma hé mat ma khéa d6i ximg chura giai quyét duoc. Nhuge dié: héa/ giai ma kha cham (cham hon khoang m6t ngan Lin so véi mat ma kha adi, Nhuge diém co ban ciia hé mat khéa céng khai la tée dG ma nhu ma DES chang han) do phai sir dung dén cac sé nguyén t6 rit lon trén traong hiru han, Mit khac, ngudi ta tin ring néu tuan thu theo chuan (cia M¥) thi hé matkhda c6ng khai nhur RSA, Elgamal... sé ¢6 d6 an toan mat ma cao nhung ciing chia C6 tie gid nao chimg minh duge diéu d6. Vi cde khda céng khai duge céng bé mot cach rong khap nén ta kh6ng biét né ¢6 phai la khéa ta can khong va vabs 48 ny da duge giai quyét bing cde thi tye xéc thye nh X.509, Kerberos... m6t uu diém nira ca h¢ mat ma khéa cdng khai la céc tmg dung ciia né trong tinh vue chit ky s6, cling véi cdc két qua vé ham bam, thi tuc ky dé dam bao tinh todn ven cia van ban duge giai quyét. 1.4, HE RSA HG mat ma RSA, do Rivest, shamir, Adleman tim ra, duge céng bé lan dau tign vao thing 8 nm 1977 trén tap chi Scientific American. Hg mat ma RSA duge sir dung rng rai trong thyc tign dc bigt trong Tinh vye bao mat va xée thye dir ligu sé. Tinh bao mat va an todn cia ching duge dam bao bing bai toan phan tich sé nguyén thanh cdc thira sé nguyén té. Gia str n=p.q trong dé p, q la hai sé nguyén t6 1é khac nhau va O(n) la ham Gle. HG RSA duge dinh nghia nhu sau : Cho P=C=Z, ; K= {(n,p,q,a,b) :ab = 1 mod © (n)} Véi mai k=(n,p.q,a,b) xac dinh = y= ex(x)=x” mod n va d(y)=y" mod n (x,y 1 Z,) ce gid trj n, b la cong khai va p, q, a la bi mat. 1.4.2. Kiém tra quy tie giai ma Do ab = 1 mod @ (n), & (n)= (p-1)(q-1)= © (p) (q) nén ab=1+t ® (n), Voi tli s6 nguyén khac 0. Chi y ring 0 | thi d=p hode d-n ‘Néu d=n thi x-0 va duong nhién y=0. Do dé y*mod n=0 Gia sir d=p khi d6 0 A va mot thudt todn kiém thit verge V, ver,: Px A — {diing, sai} thoa man diéu kign sau day voi moi dang néu y= veri(x) sainduy* ver(x) Ven(xy Mat ma khéa céng Khai cé thé tao ra duge chit ky sé, chit ky sé cé thé sir dung dé chimg minh tinh chinh xac cita théng bao. Dé ky lén mét thong bao, nguéi ta ding mt him toan hge dé tgo ra m6t ban tom tit duy nhat cia théng bao. Ban t6m tit nay duge ma héa bing khéa bi mat cua ngudi gir va duge goi la chit ky 86. Sau dé, chit ky sé nau duge néi vao cudi thong béo. Ngudi nhan cé thé kiém dinh ca tinh xéc thyc va toan ven cia théng bao ma minh nhén durge bing céch = ~ Dang khéa cng khai ctia ngudi giri dé gidi ma phan chit ky sé ctla ngudi iti (thu duge ban t6m tit thong bao cia ngudi git). ~ Ding cing ham todn hoc ma ngudi giti sir dyng dé tao ra ban tom tit ctia théng bao nhin duge rdi so sinh hai ban tom tit nay voi nhau. Co sé ha ting cia khéa céng khai Lim nhigm vu quan ly vige sinh va phan phéi cdc cp khéa cdng khai va khéa bi mat cling nhu vige x4c thye quyén sir dung 4é dam bao sy tin tuéng va co sé phap ly cla khéa, Mac di, vé nguyén tic cdc khoa cOng khai la moi ngudi déu biét nhung quan trong 1a tinh xdc thye va quyén sé hitu tia ching lai cé thé thay déi boi PKI. Quy trinh ky va kiém tra chit ky duoe m6 td nhur hinh bén dui : Gié sit A mud giti cho B thong digp x thi A thee hién nlue sau Bude 1: A bim théng digp x thu durge bin dai dign z=h(x) ¢6 kich thurée 66 dinh 128 hoe 160 bit. 14Dé dai tay ¥ ‘D6 dai cd dinh 128 voi MD hog 160 bit vii SHA | Ban bam “Thong digp (ban 15 x) Baim thong digp (sir dyng MD__, in ba (van bin, am than...) > hoe SHA) thu dtroe h(x) ane Hinh 4 : Bim théng diép Buéc 2: A ky sé trén ban dai dién z bang khéa bi mat eta minh, thu duge ban ky sé y=sigx(z) Ban bam Ky sd Ban ky sé (van ban dai dién) ———» (Sir dyng cde so dd ky sh. ~———+ y= sigy(z) nh RSA, Elgamal, DSS) Sign) Khoa bi mat cia ngudi gir Hinh 5 : Ky trén ban bam Bude 3: A giti (x,y) cho B Thong digp ban ky s (xy) Nguoi giti A Ngudi nhn B Hinh 6: Truyén dir ligu thong tin clin gitKhi B nhdn duege (x,y) thi B the hién céc bueée nhue sau: Bude 1; B kiém tra chit ky sé dé xdc dinh xem théng diép ma minh nhin duge c6 phai duge giri tir A hay khéng bing cach giai ma chir ky sé y, bing khéa cong khai A duge z. if yesiex@) Te i: ‘Xde minh chit ky ak eee Ver x(y,2) False o| ¥F sig x(2) Khéa céng khai Cia nguai A Hinh 7 : Xd minh chir ky Bude 2 : B ding thuat todn bam (trong duong vous thuat toan bam ma A dai ding ) d8 bam thong digp x di kém, nham duge h(x) Bam thong digp Thong digp (ban 18) (Sie dyng thuat toin ‘ - en) __+] "MD hoe SHA) how) Hinh 8: Tin hinh bim thong digp Bude 3 : B so sanh gid tri bam z va h(x) néu giéng nhau thi chic chin ring thong digp x la do A giti cho B, con nguyén ven, bén canh dé ciing xae thye duge ngudi giti 1a ai. 16Théng digp toan ven z= h(x) So sdnh z va h(x) . # Thing digp da bj thay adi eee Hinh 9: Kiém tra tinh toan ven 2.2.3. Chir ky dya trén hg mit RSA. So dé chit ky RSA Cho n=p*q vai p, qa sd nguyén 16 én, Dit P=A=Z, K={(n, p, q, a, b) : n=p*q, ab = 1 mod ®(n)} Trong dé (n,b) la céng khai va (a, p, q) 1a bi mat Voi mdi K=(n, p, q, a, b), mdi x € P, ta dinh nghia y= sign(x ver x(X,y)= ding tuong durong x=y" mod n modn,y = A Khi giti ngudi ta giri ca c§p x va y (néu khong cin thiét x phai bao mat ma chi cdin an toan théi) 2.2.4, Chir ky sé dya trén hg mit Elgamal. S6 dé chit ky sé Elgamal duge gidi thiéu Lin dau tién trén bdo vao nim 1985 nhung chua hoan chinh, sau 46 Vién Tiéu Chuan va cong nghé quéc gia My (NIST) da cai tién va chudn héa né lam chit ky sé. So dé chit ky Elgamal duge thiét ké danh riéng cho chit ky sé, khdc véi so dd RSA ding cho ca hé théng ma héa cong khai va chit ky s6. So dé chit ky Elgamal li khéng tat dinh, tire 14 cé nhiéu chit ky hop 1é trén mt bite dign cho truée. Do dé thuat ton phai cé kha ning chp nhn bat ky chi ky hgp I€ nao khi xdc thye. Néu chit ky duge thiét lap ding thi khi x4e minh sé thanh cong vi: Br 7a" mod p a modGia sit p 1a s6 nguyén t6 va a la sé nguyén thiy trén Z°, (cin nguyén thy) ciia p, cho trade y. Vige tinh x thoa man y=a* mod p duge coi 1a khd néu p duge chon can than, nghia la khéng cé thugt toan nao dé tinh x trong théi gian thye té ca. Trong khi d6 néu biét x thi vige tinh y dé ding theo thudt toan tinh nhanh, Dé 1a co sé toan hge cua hé mat Elgamal, V/. Dinh nghia Cho p la s6 nguyén t8 sao cho viée tinh logarit réi rac trong Z, 1a khé va cho at Z’,1a phan ti nguyén thiy. Cho P=Z",, A=Z'p"Zp1 va xdc dinh_ K=((p. q. 4, B): B= a* mod p} Cac gid tri p, a, B 1a céng khai, con a 1a bi mat. Véi K=(p, q, «, B) va véi sé ngiu nhién K € Z’,., dinh nghia: Sige@.y(7.8) Trong 46 =a" mod p va 8=(x-ay)r! mod (p-1) Véi x, y © Z'y vad © Zp, vie xdc dinh (7,8) la chit ky ding trong duong véi suv thoa min ding dur thite B"-y°= a* mod p Chit ky trén x theo luge a8 Elgamal phy thuge vao dai lrong ngau nhién r. Nghia 1a mOt théng bao x, néu Bob ki 6 2 thoi diém khdc nhau thi duge 2 chit ky khac nhau. Bob mudn kx can : - Chon ngau nhién re Z°. ~ Tinh y= a' mod p va 8=(x-ay)r' mod (p-1) Alice kiém tra chit kj nlue sau : ~ Tinh B'y*, a mod p mod p thi chap nhan chit ky 46 la tin cy va nguogc lai thi bac Gia str p=467, 27, khi dé = B 27 mod 467 =132 Néu Bob mudn ky én bite dign x=100 va chon sé ngiu nhién 213 (UCLN(213, 467)=1) va 213" mod 466=431. Khi dé mod p= 18y=?" mod 467=29 va 6=(100-127*29)431 mod 466=51 Bat ky ai cing cé thé xac minh chit ky bing cach kiém tra: 132295! = 189 mod 467 va 2!=189 mod 467 Vi thé chit ky hgp 1é. 2.3. CHUAN CHU KY SO DSS ‘Dé la bién dang cita luge 46 Elgamal, né duge céng bé trong Céng bao Lién Bang vio ngiy 19/5/1994 va duge coi nhu la chuan vao ngiy 1/12/1994, Vi thé hé Elgamal khéng an toan hon bai toan Logarit rdi rae nén can ding modun p Ién, Chic chin p can it nhat 512 bit va nhiéu ngudi con dé xudt nén lay p=1024 bit dé dim bao an toan, nhung p dai 512 bit thi chi ky ¢6 1024 bit, trong nhiéu img dung ngudi ta cin chit ky ngin hon. DSS cai tién luge dé Elgamal theo hung : sao cho mét bite dién c6 d6 dai duge ky bang chit ky 320 bit, tuy thé vige tinh toan lai duge lam trén modun c6 p-512 bit. Khi do hé t DO éng lam vige trong nhém con cia nhém Z’, kich thie 2'©. it ciia _hé théng diya trén su an ton ctia vige tim Logarit rai rac trong nhhém con cia Z", Nhu vay dé hy ~ Chon ngéu nhign sé r, ri [1, q-1] - Tinh y=(a' mod p) mod q 8 =(xta yr! mod q (y, 8) la chit ky ca Alice trén x. Bob kiém tra chit ky: - Tinh e=x 5 mod p e= 75! modq - Kiém tra ding thite : (a*! B° mod p) mod q ‘Néu cé ding thite: chit ky tin cay Néu khéng: Chit ky1/. Dinh nghia: Cho p 18 s6 nguyén 18 512 bit mi bai ton roi rac trén Z, 1a Khd, q 1a sd nguyén t6 160 bit la ude cia p-1. Gia site Z, 18 cin bic q ciia modun p. Cho P- A=ZyZy va dinh nghia: A=((p.q, «4a, B): B= a* mod p} Céc sé p,q, a, B 1d cOng khai va a la bi mat Voi (p.q, 0.2, B) va vi mét sé ngau nhién eZ’, ta dink nghia: Sig(xn=(1,8) Trong do: (a mod p) mod q 8=(xtay)r' mod q voi xe Z, va 7,5¢Z, qué trinh xéc minh sé hoan toan sau cdc tinh todn: e:-x 6! mod p e= 8" mod q Gia sit q=101, p=78.q+1=7879, 3 la phin ti nguyén thity trong Znsv0 nén C6 thé ldy : a=37* mod 7879= 170 Gia sit a=75, khi 46 B= a" mod p=170"* mod 7879 = 4576 Bay gitr gid sir Bob muén ky thong digp =1234 va anh ta chon mg nhién r=50, vi thé: r! mod 101=99 Khi dé : y=(a" mod p) mod q =(170 mod 7879) mod 101=94 5(xtay)r! mod g=(1234+75*94)*99 mod 101=96 (7.8) l8 chit ky ciia Alice trén x, con Bob sé kiém tra chit ky nhur sau vi =x 8 mod p = 1234*96" mod 7879 = 45 = 76! mod g= 94*96" mod 101=27 Kiém tra dang thite (a'B* mod p) mod q =(170*4576"" mod 7879) mod 101=94 Vi thé chit ky hgp lé. 202.4. HAM BAM 2.4.1 Dinh nghia va tinh chat. 1). Dit van dé : Cac thuat tofn lién quan dén xéc thy, chit ky s6 thi dau vao 1a nhing doan ngan thudng 64, 128, 160 bit. Nhung trong thye té cdc bite dién cin ky c6 d6 dai khéc nhau, nhiéu khi cé d6 dai rat 16n. Vay ta phai lam thé nao ? Mot cach don gidn la chat bite dign thinh cic doan nhé réi ky dée lap trén cée doan 46. Tuy nhién bién phap nay xuat van dé khi ta ap dung cho chit ky s6 ~ Néu bite dign c6 kich thude 1a a thi sau khi ky bite dign e6 kich thuée 1a 2a (néu ding DSS). - Cac so dé chit ky ‘an toan ” thi téc 49 chim vi chang ding nhiéu phép tinh sé hoc phite tap nhur s6 mii modulo. - Van dé quan trong nhat dé 1 ndi dung sau khi ky, ligu chiing cé bj mat mat, xdo tn. Do dé cin phai dam bao tinh toan ven ca thong digp. Giai php cho céc van dé lién quan dén chit ky sé 14 ding ham bam dé tro gitip cho vigc ky sé. 2). Dinh nghia : Mét ham bam 1a mét 4nh xq h tir khdng gian ban 15 ¢6 46 dai tiiy ¥ vo khong gian cé6 gid trj c6 46 dai ¢6 dinh. Khong gian cac ban 10 cing nhu khéng gian cdc gia tri déu dugc gia thiét 1a nhimg day bit nhi phan. Ham bam duge dé cp 6 day la ham mot chiéu c6 tac dung try giip cho céc so dd ky bam théng diép dya theo thuat ton h mét chiéu ndo d6 rdi dua ra mOt van ban cé kich thude cé dinh. lim gian dung lugng dir ligu dé truyén qua mang, né cd nhiém vu‘Thong bio x DQ dai tay ¥ ‘Thong bio rit r=h(x) 160 bit néu dung DSS ; Chit ky y=Sigi(@) 320 bit Hinh 10 : So dd ky m@t ban thong digp M6x sé tinh chat 1, Tinh mét chiéu : Nghia 1a khi cho trude diy théng bdo x thi vige tinh gid trj bam y=h(x) a d& dang, eiing kim 1a thei gian tinh ¢6 46 phite tap da thite, Nhung kho cho truréc y viée tinh x 48 yh(x) la bai toan kh. 2. Tinh khéng va cham. 2.1 Tinh khOng va cham yéu : Cho trad x, thi khé c6 thé tim duge m@t x” sao cho h(x’)=h(x). 2.2 Tinh khéng va cham manh : khé tim duge 2 thong bao x, x’ sao cho hooi=h(x’). 2.4.2 MOt sé ham bam dién hinh. 2.4.2.1 Ham biim don gidn, Cée ham bam déu duge thyc hién theo nguyén tic chung nhw sau : diu vao duge biéu dién duéi dang cdc khéi c6 46 dai n bit, ede khéi nay déu duge sit ly theo cing m6t kiéu va lip di lap lai dé cudi cing cho dau ra ¢6 s6 bit ¢6 dinh. Ham bam don gian nhit duge thye hign nhwr sau : =D; ® by... Dy tia ham bam = © : phép cng modulo 22.4.2.2 Kj thudit khdi xich, Ngudi dé xudt kj thudt nay 1d Rabin, str dung ky thuat mat ma xich choi hung khdng e6 khéa bi mat. Chia thong bao M thinh cdc Khoi e@ Kich thude 8 dinh 1: My, M3,...M, sau 6 ding hg ma thuan tign aé tinh ma hash nhu sao : Ho = IV (IV la gid tri dau ) H,= Eyg(Hj..), i=1,1,....0 G=H, 2.2.4.3 Ham biim Logarit roi rac Ham nay do Chaum, Van Heist, Pfitzmann phat minh, néu ham logarit dic trumg cia né khéng thé tinh ton duge thi ham bam nay sé an toan, tuy né khéng dit nhanh nhung né 15 ring khong c6 kha nang tim ra gid tri nay. Dinh nghia : Gia sir p 1a sé nguyén t6 Ion va g= (p-1)/2 cing la mét sé nguyén té lon. Ta sit dung 2 phin tir nguyén thiy cia Z, 18 a, B. Gid tri log, khong duge céng bé, ta gia dinh ring khéng c6 kha nang tim duge gid tri nay. Ham bam c6 dang = D:fO.1,..0-1) *40,1-44-1} 9Z'p va duge xée dinh nur sau : 1h(x,,x2) = a B? mod p 2.4.3 Ung dung ham bam. ‘Ung dung chi yéu cia him bam la trong chit ky sé va trong viée tao ra khoa lién lac c6 bio mat. MOt tmg dung khac cua ham bam dé 1a dé kiém tra tinh toan ven ciia thong digp.PHAN B : CO SO HA TANG MAT MA KHOA CONG KHAL VA UNG DUNG. Chwong 3 : CO SG HA TANG MAT MA KHOA CONG KHAI. 3.1. LICH SU HiNH THANH PKI ‘Véi sir phat trién cia khoa hoc céng nghé, hau hét ede céng vige hinh chinh dang dan dan sé héa, dic biét trong linh vye quan ly, xin c4p phép...tin hoe ngay céng khing dinh durge vai tré quan trong cia minh. Tuy nhién né ciing dat ra vin 48 cp thiét ta cn giai quyét d6 1a dam bao an ninh an toan théng tin khi thyc hién tin hoc héa dic bigt 18 trong link vue thurong mai dign ti. M6t vi du dign hinh dé 1a Canada, khi xdy dung thuong mai dign tir Canada rat cha trong nghién citu, thye hign xay dung co sé ha ting khéa céng khai, day la diém mau chét dé dim bao an toan théng tin khi tham gia thuong mai dién tir, cing niu dim bio cho ché phat trién Iau dai, Ngoai ra dé thye hign thinh cong cée giao dich trong thong mai dign tir thi cin chi trong xay dung m@t co sé phip ly hoin chinh ciing nhiing rang bude vé mat Ki thug, Viéc Diffie, Hellman, Shamir va Adleman céng bé céng trinh nghién ciru vé trao déi khéa an ton va thudt ton PKI vio nim 1976 da lim thay déi hoan toin cach thie trao déi théng tin mit. Cing véi su phat trién ctia céc hé théng truyén tin téc 46 cao (Intemet va cdc hé théng truéc n6), nhu cau vé trao déi théng tin bi mat tre nén cép thiét, Thém vo 46 m6t yéu cau nira phat sinh la vige xc dinh mt danh tinh, thong tin lién quan dén ngudi tham gia vao qua trinh trao déi th6ng tin. Vi vay 8 viéc gin dinh danh ngudi ding véi chimg thye duge bao vé bing cdc ky 14 duge hinh thanh va phat trién manh mé. giao thire sir dung cdc kj thuat mat mA méi da duge ra déi va phat trién, Cing véi sy ra doi va phé bién cia WWW nhing nhu cau vé an toan thong Chi tinh riéng cc nhu cau img dung cho thuong mai (nhur giao dich dign tir hay truy cp co sé dit ligu bing trinh, duyét web) cing da dit hap din céc nha nghién iru trong linh vue nay. Taher Elgamal va cOng sy tai Netscape da phat trién giao thie SLL trong 46 bao gém thiétlap khéa, nhan xée thye tir may chi... ElGamal la mét trong nhing ngudi di tién phong trong linh vyc nay, 1a ngudi dat nén tang quan trong cho sy phat trién cia PKI. Ney nay, vige dim bao an nin, an toan thong tin khi thyre hign tin hoc héa, ac bigt 1a tham gia thong mai dign tir cing duge chi trong. Céc quée gia, 16 chite tim moi cach dim bao, tgo long tin, tinh tin cy cho cée ed nhan,té chite khi tham gia tire la bing moi cach dé cho ngudi sir dung (ngudi tham gia) tin tuéng vao dich vy ma minh dang str dyng la hoan toan ding, hoan ton c6 that va that sy an toan, PKI chinh la cau tra di cho cae van dé trén, Cae nha doanh nghigp rat hi vong vio mt thi trudng hita hen méi da duge hinh thanh, nhimg céng ty hodc dir én vé PKI bat dau duge thanh lip, dong thai ho van dng céc chinh phii hinh thanh nén khung phaps ly vé linh vye nay. American Bar Association di tién phong nghién ciru, xay dymg khung phap ly cho PKI. Khong lau sau 46 mt vai tiéu bang cia Hoa Ky ma di dau 1 Utah (nim 1995) da thong qua nhimg dir luat va quy dinh dau tién lin quan dén van dé nay. Tuy nhién cac ludt va quy dinh da duoc théng qua lai khéng théng nhat trén thé gidi. Thém vao di la nhing kh6 khan vé ky thudt va van hanh khién cho viée thye hién cac dy dinh vé PKI tro nén khé khan va di vao bé tic. Tai théi diém dau thé ky 21, ngudi ta nhan thay ring cdc ky thuat mat ma ciing nhur céc quy trinh, giao thire rat khé thye hién chinh xéc va edc tiéu chudn hién tai chua dap img cac yéu cdu thye té dé ra. Thi trong PKI thyc su da tn tai va phat trién nhung quy mé khéng Ion ké tir nhig nam giita cua thap ky 1990. PKI chua giai quyét duge mét sé van dé ma ngudi ta hy vong. Tuy nhién do tinh cp thiét cua nd, cho dén nay PKI da cé chudn . Nhiing PKI thanh cong nhat t6i nay 1a cdc phién ban do chinh phi mét sé nuéc thye hién. 3.2. CO SO HA TANG MAT MA KHOA CONG KHAT Co sé ha ting cia khéa cong Khai viét tit 14 PKI (Public Key Infrastructure), chung, da duge tng dung nhiéu va khéng ngimg phat ti PKI 1a m@t hé théng (phan cig, phan mém) cé nhigm vy dam bao cho giao dich dign ti, cho vigc trao di cac théng tin mat, théng qua vie sir dung cdc khéa ma vaxée thyre. PKI cho phép : dim bao sir tin cay, quan If truy nh§p, dm bao tinh toan ven ciia théng tin, xde thye ngudi ding, chéng tri bd cde giao dich thuong mai dign tir va hé tro céc tmg dung céng nghé théng tin. PKI ding dé quan ly vige sinh ‘va phan phéi céc cip khéa cng khai va bi mit, céng bé cac khéa céng khai (cing v6i vie nhfn dang cia ngudi ding) nhu gidyys chimg nhan ngudi ding trén cdc tap chi ndi tiéng. Khai nigm PKI thuring duge ding dé chi toan b6 hé thing bao gom nha cung cdp chimg thye sé (CA) cing cdc co ché lién quan, déng thi véi ton b6 vige sir dung toan b§ cac thugt toan mét ma khéa cong khai trong trai di théng tin. Tuy nhién PKI khéng nhat tl at sir dung cc thuat todn ma héa céng khai. 3.3, NHUNG YEU CAU CUA PKI Dé dim bio thong suét va tin cay cho cae giao dich dign tr, tap cdc dich vu an ninh chung cia co sé ha tang cdn phai tao thanh mét chudn. Chudn nay phai cd kha nang hé trg vé nhiéu mat, dip tng duge day du cdc kha nang cila cdc cong nghé duge sir dung trong cdc tmg dung kinh doanh. Chi inh, tién t@ sé dugc trao déi mét céch an toan trén céc hé thang mang mé néu co sé ha 1g han, cite giao dich tai cl ting vé an ninh duge thiét lip. Dich vi dim bao an ninh cho thu dién tir 06 thé chéng lai vige xem trom cia d6i tugng gid mao, né cho phép ngudi giri va ngudi nhan kiém tra nhan dang cita nhau. Dich vy trao déi dit ligu dign tir (EDI) dam bao an toan cho vige trao déi cdc bao cao dign tir. Cae giao dich tai chinh can phai duge ky bing chit ky sé va c6 thé xc thuc dé dam bao dé tin cay 6 noi nhan. Thuong mai dign tir c6 thé 4p dung trén pham vi toan cdu khi céc tiéu chudn dam bao an ninh chung duge théa thudn gitta ede bén tham gia. 3.4. UNG DUNG CUA PKI Myc tiéu chinh ciia PKI fi cung cdp khéa cOng khai va xée dinh mdi fién he giifa khéa va dinh dang nguoi ding. Nhd vay ngudi ding c6 thé sir dung trong mot 86 tmg dung nhu : - MA héa Email hoge hoje xic thye ngudi giti Email (OpenPGP hay S/MIME). 26~ Ma héa hode xéc thye van ban (Cée tiéu chudn chit ky XML* hoe ma héa XML Khi van ban duge thé hign duéi dang XML) ~ X4c thye nguéi ding (Ding nh4p bing thé théng minh - SmartCard). Co ché nay cing cho phép gan cho mdi nguéi sir dung trong hé thong mét cp Public/Private. ic qua trinh nay thuéng duge thie hién bai mét phan mém dat i trung tim va cdc phan mém khac dit tai cdc dia diém ciia nguai sit dung. Khoa céng Khai thug duge phan phdi trong chimg thye khéa cong khai. Vai tré ctta PKI trong Thong mai dign tie PKI la thinh phan khéng thé thiéu dé phat trién thong mai dién tir cia méi quéc gia ; né dim bao cho céc giao dich dign ti, cae trao déi théng tin gitta cae bén théng sudt va an toan. Loi ich kinh té, x4 hdi cla cdc dudng truyén téc d6 cao sé mit di ¥ nghia. Dam bao an ninh, an toan théng tin 1A khéng thé thiéu trong cdc img dung trén mang, chang han nhy : chuyén nhan cdc théng tin vé thy tin, hoa don mua hang, thé tin dung, cdc hgp dng cé rang bude vé mit phap ly. Hé théng thuong mai dign tir phai bao lacé gia luge théng tin cua cdc ca nhan, t6 chire, dam bao cac giao dich dign tir i va hop phap. 3.5. CAC THANH PHAN CUA PKI ‘M6t hé théng PKI gém 4 thanh phan nhu sau : (CA): + Cap phat va thu hdi cdc chtmg chi - Certification Authorit - Registration Authorities (RA) + Gin két gidta khéa cOng khai va dinh danh cua ngudi gidt ching chi. ~ Clients : + Ngudi sir dung chimg chi PKI (hay theo céch khée duge xe dinh nhu nhimng thuc thé cudi). + Ngudi str dung cudi hodc hé théng la chu thé cia chimg chi PKI. = Repository : + Hg théng liu trit chtmg chi va danh sch cae chimng chi bj thu hai. + Cung cap co ché phan phdi chimg chi va CRLs dén cdc thuc thé cudi.3.5.1. Té chite chirng thye CA ‘Trong ha ting co sé khéa céng khai, chimg chi c6 vai tro gin két gitta dinhNhin chung RA xtr ly vige trao déi gitta chi thé thye thé cudi va qua trinh dang ky, phan phdi chimg chi vi quan ly vong doi chimg chi/ khéa. Tuy nhién trong bait ky truémg hop nao thi RA cting chi dura ra nhiing khai béo tin efy ban dau vé chi thé. Chi CA méi c6 thé cung cp chimg chi hay dura ra théng tin trang thai thu hi chimg chi CRL. 3.5.3. Thue thé cudi (Nguoi gid chirng chi va Clients) Thuc thé cudi trong PKI cé thé 14 con ngudi, thiét bi va thim chi cé thé 1a chuong trinh phdn mém nhung thudng 1a ngudi sir dung hé théng. Thyc thé cudi sé thé hign nhimg chite ning mat ma (ma héa, gidi ma, ky 36). 3.5.4. Hé thong lwu trir (Repositories) Chimg chi (khéa céng) va théng tin thu hdi chimg chi phai duge phan phdi sao cho nhiing ngudi cin dén chimg chi déu cé thé tray cp va lay duge. Cé 2 phuong phap phan phoi ching chi : 3.5.4.1. Phan phéi cé nhan Phan phéi c4 nhan 1a cdch phan phéi eo ban nhdt. Trong phuong phap nay thi méi c4 nhan sé tryc tiép dua ra chimg chi ciia ho cho nguéi ding khac. Vige nay cé thé thyre hign theo mét sé co ché khéc nhau, nh chuyén giao bing tay chimg chi § méi tring luu trit khac. Ciing c6 thé phan phi bang céch gin chimg chi trong Email dé giri cho ngudi khac ; cch nay thye duge luu tri trong dia mém hay mot hign t6t trong mot nhém it ngudi ding nhung khi sé lurgng ngudi ding ting Ién thi 6 thé xay ra van dé vé quan ly. 3.5.4.2. Phan phi khéa M6t phuong phap cing khé 6i khéa, phan phéi chimg chi va thong tin thu hdi chimg chi la céng bé cae chimg chi rOng rai, céc chimg chi nay c6 thé sira dung mét cach céng khai va duge dat & vi tri c6 thé truy cp dé dang. Nhing vi tri nay duge goi la co sé dit ligu. Dui day 1a vi du vé mot s6 hé théng lu trir : - X.500 Directory System Agents(DSAs) - Lightweight Directory Access Protocol (LDAP) Server - Online Certificate Status Protocol (OCSP) Responders - Domain Nam System (DNS) va web Server - File Transfer Protocol (FTP) Servers va Corporate Database3.6. CHUC NANG CUA PKI Nhing hé théng PKI khée nhau thi e6 chire nang khée nhau nhung nhin chung ¢6 hai chite nang chinb 1a : chimg thye va kiém tra, 3.6.1 Chimg thye (Certification) ‘Chimg thuc 14 chite nding quan trong nhdt ca PKI. Day 1a qué trinh rang bude khéa céng khai véi dinh danh eta thye thé. CA la thye thé PKI thyre hign chite nang chimg thye. Cé hai phurong phap chimg thye = Té chite chimg thyc (CA) tao ra cap khéa cng khai/ khéa bi mat va tao ra chtmg chi cho phan khéa céng khai cia cp khéa. ~ Nguti sii dung ty tgo ra cip khéa va dua kha céng khai cho CA dé CA tao chimg chi cho khéa cng Khai d6. Chimg chi dam bio tinh toan ven cia khéa céng khai va cac théng tin gin cing. 3.6.2. Thim tra (Verification) Qué trinh xée ligu ching chi da dua ra cé thé duge sir dung ding mue dich thich hgp hay khong duge xem 1a qué trinh kiém tra tinh higu lye cua chtmg chi. Qué trinh nay bao gdm mot sé bude : ~ Kiém tra ligu c6 ding la CA duge tin tuéng da ky sé Ién chimg chi hay khéng (xir ly theo duréng din chimg chi). ~ Kiém tra chit ky s6 ca CA trén chimng chi dé kiém tra tinh toan ven, ~ Xéc dinh xem ehimg chi cdn trong thé gian higu lye hay khong. = Xac dinh xem ching chi bj thu héi hay chua, - Xac dinh xem chimg chi dang due sit dyng cé ding myc dich, chinh sich, gidi han hay khong (bing cach kiém tra cdc trudng mé rong cu thé nhu mo Ong chinh sdch chimg chi hay vige mé rong vige sir dung khéa). 3.6.3. MOt sé chire nang khiic Ngoai cac chire nang chinh nhw 6 trén thi hé théng PKI cén mét sé chite nang sau : 3.6.3.1. Diing hy Dang ky la qua trinh dén hode lién lac véi cae t6 chite, trung tim tin cay dé dang ky céc théng tin va xin cp chimg chi, RA va CA 1a nhing thyc thé trong qua 30trinh dang ky. Qué trinh ding ky phu thude vao chinh sich eta t6 ehite, chi duge cung cép véi mye dich ding cho nhing hoat dng bi mat thi sir dyng Su ching phuong phap gp mit truc tiép. Néu chimg chi chi duge sit dung cho nhiing myc dich, hogt dng thuéng thi co thé ding ky qua nhiing mg dung viét sin hodc img dung dign tr. 3.6.3.2. Khéi tgo ban dau Khi hé théng tram cia chi thé nhan duge céc théng tin can thiét dé lién lac véi CA thi qua trinh khéi tao bat dau, Nhimg théng tin nay cé thé 1a khéa céng khai cia CA, chimg chi cua CA, c&p khéa céng/ bi mat cia chi thé. ‘M6t sé hé théng khac sir dung co ché dya trén password trong giai doan khéi tao. Ngudi ding cudi lién lac voi CA khi nhan duge password va sau 46 thiét lap mét kénh bao mat dé truyén nhiing théng tin cin thiét. Giai doan khéi tao thudng tip tuc véi qua trinh chimg thy. 3.6,3.3. Khoi phue edp khéa ‘Hau hét hé théng PKI tao ra hai cp cho ngudi sit dung cudi, mét dé ky sé va mét dé ma héa. Ly do tao 2 cp khéa khac nhau xuat phat tir yéu cau khéi phuc va sao lu dy phong khéa, Tay theo chinh sich cia t6 chit, bO khéa ma (ma va ma) va nhimng théng tin lién quan dén khéa cia ngudi sit dung phai duge sao hu dé 06 thé lay Iai duge dit ligu khi ngudi sit dung mat kh6a riéng hay roi khéi don vi. ‘Cén khéa dé ky s6 duoc sir dung tiy theo muc dich c4 nhin nén khéng dugc sao it ciia CA thi duge hu gitr dir phong trong mét thai gian dai dé giai PKI e6 nhiing cong. lum. Rigng khéa bi mi Tin cé thé xy ra trong trong lai. Hé cu dé thyc hign chite ning sao lu va khoi phyc khéa, 3.6.3.4. Tgo khoa Cap khéa céng khai/ bi mat c6 thé duge tao & nhiéu noi. Chung ¢6 thé duge tao ra biing phan mém tir phia client va duoc giri t6i CA dé chimg thc. CA ciing cé thé tao ra cp khéa truéc khi chitng thyc. Trong truéng hop nay, CA ty tao ra cp khéa va giti cp khéa bi mt nay cho ngudi sir dung theo mét cach an toin, Néu khéa do bén thir ba tgo ra thi nhiing khéa niy phai duge CA tin cay trong mién xéc dinh truée khi sit dung.3.6.3.5. Han ché sie dung va cdip nhGt khéa ‘M6t trong nhimg thude tinh ctia chimg chi la thi gian higu lye. Thoi gian higu lye ciia méi cp khéa duge xéc dinh theo chinh sich dit dung. Cac cap khoa cla ngudi sir dung nén duge cap nhat khi c6 théng bao vé ngay hét han. Hé thong sé théng bao vé tinh hudng nay trong mét thi gian nhat dinh. Chimg chi méi sé duge ngudi cp céng bé ty dng sau théi gian hét han. 3.6.3.6. Xtim hqi khéa Diy la truéng hop khéng binh throng nhung néu xay ra thi khéa méi sé duoc céng bé va tit ca nguéi sir dung trong hé théng sé nh§n thay diéu nay. Xam hai dén khéa ciia CA 1a mot trudmg hop dic bigt. Va trong truring hgp nay thi CA sé cng bé lai tat c& cac chimg chi véi CA- Certificate méi cia minh, 3.6.3.7. Thu hoi hig chi duge cing bé sé duge sir dung trong trong khong théi gian c6 higu lye. Nhung trong truémg hep khéa bj x4m hgi hay 6 sy thay déi trong théng tin cla chimg chi thi chimg chi sé durge céng bé, chimg chi cii sé bj thu hai, 3.6.3.8. Cing bé va giti thing béo thu héi ching chi ‘Mét ching chi duge cap cho ngudi sir dung cui duge giri dén cho nguéi nam giit va hé théng hiru trit 4é cé thé truy cap céng khai. Khi mét chimg chi bj thu héi vi mét ly do nao dé, tit ca ngudi sir dung trong hé thang sé duge théng bio ve vige nay. 3.6.3.9. Xée the chéo ‘Xac thye chéo li mét trong nhimg dic tinh quan trong nhat cia hé thong PKI. Chitc nang nay duge str dung dé néi hai mién PKI khac nhau. Xac thyc chéo la cach dé thiét lip mi trudmg tin cdy gitta hai CA duéi nhimg diéu kign nhat dinh. Nhiing diéu kién nay duge xéc dinh theo yéu cau ciia ngudi sit dung. Nhiing nguéi sir dyng & céc mién khac nhau chi cé thé giao tiép an toan véi nguéi khac sau khi vige xéc thye chéo gitta cée CA thanh céng. Xéc thye chéo duge thiét lip bing cach tao ra chimg chi CA xée thye Lin nhau, Néu CA-1 vi CA-2 muén thiét lap xac thye chéo thi can thyc hign mét sé bude sau +CA-1 cng bd CA- certificate cho CA-2 +CA-2 cong bé CA- certificate cho CA-1. 32+CA-I va CA-2 sé sit dung nhimg truong mé rong xée dinh trong chimg chi dé dit nhimg gidi han can thiét trong CA- certificate. Viée xdc thye chéo ddi héi phai cé sy kiém tra cn than cdc chinh sich PKI. Néu ca hai déu c6 cing hogec tuwong ty chinh sach ciia nhau thi viée xAc thye chéo sé cé ¥ nghia. Ngugc lai, sé c6 nhimg tinh hudng khéng mong muén xudt hién trong truéng hgp chinh sach PKI ciia mét mién tré thinh mét phan cua mién khac. 3.7.MO HINH PKI 3.7.1. MO hinh don Day ki mé hinh t6 chite CA co ban va don gidn nhdt. Trong mé hinh CA don chi cé mét CA xéc nhan tit ca cdc thy thé cudi trong mién PKI. Méi ngudi str dung trong mién nhin khéa céng khai cia CA géc (root CA) theo mét s6 co ché nao dé. Trong mé hinh nay khéng c6 yéu cau xdc thuc chéo. Chi cé mét diém dé tit ca nguéi sir dung c6 thé kiém tra trang thai thu héi ciia chimg chi da duge cap. M6 hinh nay c6 thé duge mé rdng bing each cé thém cde RA 6 xa CA nhung 6 gin cde nhém ngudi dimg cy thé. M6 hinh nay duge minh hoa trong hinh sau : Root CA Hinh 11: M6 hinh CA donUi diém : M6 hinh nay dé dé nang trong tic. ién khai va gidm t6i thiéu duge nhimg vin dé vé kha Nhuwoe diém : - Khéng thich hop cho mién PKI én vi m6t s6 ngudi sir dung 6 nhiing mién con cé nhimg yéu cu khac nhau déi véi nhimg ngudi 6 mién khac. = Cé thé khéng cé t6 chite nao tinh nguyén van hanh CA don hoge mot s6 6 chite gi c6 thé khong tin tung vao nhiing ngudi van hanh CA nay vi mot vai ly do nao d6, ~ Vide quan tri va khéi hong céng vige ky thudt cita vige van hanh CA don sé rit cao trong cng déng PKI lén. = Chi cé mét CA sé gay ra thiéu kha nang hoat dng va CA nay c6 thé tr thanh myc tiéu tn céng. 3.7.2. Mé hinh phan efip ‘M6 hinh nay tuong img véi céu tric phan cip vai CA géc va céc CA cip dudi. CA gée xée nh§n voi CA cap dudi, cde CA nay lai xac nhfn céc CA cap thap hon. Cac CA cp dudi khéng can xac nhan cae CA cp trén. EE : End Entiry Roor cA Lf cA cA cA cA cA BB | [EE ca] [ca EE EE EE Yee | fee ‘ce | (Pee | (be ‘Hinh 12 : Mé hinh phan cAp 34Trong mé hinh nay, mdi thyc thé sé gitr ban sao khéa cng khai ciia root CA va kiém tra dudng din cia chimg chi bat dau tir chit ky etia CA géc. Day 1d mé hinh PKI tin cay s6m nhat. * Uw diém - M6 hinh nay cé thé diing duge try tiép cho nhimg doanh nghigp phan cap va dée lip, ciing nhur nhimg t6 chire chinh ph quan déi. ~ Cho phép thye thi chinh sich va chuan théng qua ha tang co sé. ~ Dé van hanh giita cac to chic khe nhau, * Nhuge diém : - C6 thé khéng thich hop déi véi méi trudng ma méi mién khac nhau cdn co chinh sich va gidi phép PKI khéc nhau, = Cac t6 chite c6 thé khéng tu nguyén tin vao cdc 6 chitc khdc. ~ Cé thé khéng thich hgp cho nhiing mdi quan hé ngang hang gitta chinh phit va doanh nghiép ~ Nhiing t6 chite thiét lap CA truée cé thé khéng muén tré thanh mét phan ciia mé hinh, ~ Cé thé gy ra sir trdi hon ciia san pham dé An dé kha nding turong tic. - Chi c6é mét CA géc nén cé thé gay ra mét sé van dé nhur thiéu kha ning hoat dong. Thém vao d6, trong truéng hop khéa bi mét cia CA bj xam pham, khoa c6ng khai méi ciia CA géc phai duge phan phi dén tat cd cic ngudi sir dung cudi trong hé théng theo mét sé co ché khic nhau. Mic dit ¢6 nhiing nhuge diém, song mé hinh nay van thich hgp véi yéu cu cua cée t6 chére chinh pha vi edu tric phan cdp ty nhién 3.7.3. M6 hinh mat lwéi ‘M6 hinh mit Iudi ld mé hinh dua ra su tin tuéng gitta hai hoac nhidu CA. M&i CA cé thé 6 trong mé hinh phan cp hodc trong mé hinh mit luéi khac. Trong mé hinh nay khéng chi cé mét CA géc ma cé nhiéu hon mét CA géc phan phéi sy tin edy gitta cde CA voi nhau. Thong qua vige xéc thy chéo gitia cée CA gée, cde CA cé thé tin tuéng lin nhau. Xéc thyc chéo lién két céc mién khéc nhau bang viéesit dng thuge tinh BasicConstraints, Name Constraints, PolicyMapping va PolicyConstraints ciia X.509 v3 mé rng. Trong cau hinh mit ludi day di, tat cd cée CA géc xac nh§n chéo Lin nhau. ‘Diéu nay yéu cau n’ Lin xc thye trong ha ting co so. cA trung CAL cA ca | La hoe BE ] (ee ] (ee ce | (ee | [ee cE | [fe Be | [ge Winh 12; MO hinh mat lu6i ~ Linh hoat hon va pha hop hon véi nhu cau giao dich hién nay. - Cho phép nhig nhom ngudi sir dung khac nhau co thé ty do phat trién va ‘thye thi nhimg chinh sach va chudn khac nhau. ~ Cho phép canb tran. - Khéng phai la mé hinh phan cap va khic phyc duge nhimg nhugc diém cia ‘mé hinh phan cdp tin cay 6 trén. * Niuege diém : ~ Phite tap va khé dé quan ly vi vige xéc thute chéo. ~ Khé c6 kha ning thy hién va c6 thé khdng hogt dng vi nhimg ly do giao tic. - Phin mém ngudi sir dung cé thé gap phai mét sé vin dé khi tim chudi chimg chi, 36- Bé tim chudi chimg chi va CRLs véi nhing m6 hinh khéc thi vige sit dung thur myc c6 thé tré nén khé hon. Hign nay cée t6 chite chinh phi va céng ty dang thiét lap CA riéng theo yéu cau PKI cia minh. Khi c6 yéu cau xir ly giao tiép gitta céc t6 chite khdc nhau, nhitng CA nay sé tién hinh xdc thye chéo d6c lap véi nhau din dén sy phat trién ctia thé gi internet sé dign ra trong m6 hinh tin cy theo cae hudng khée nhau. 3.7.4. M6 hinh Hub va Spoke ‘Trong m6 hinh Hub va Spoke, thay bing viée xac thytc chéo CA géc thiét ip xc thye chéo véi CA trung tam. CA trung tim nay lam cho vige gino tiép duge thuan Igi hon. CA trung tim duge goi la Hub (hoje bridge) CA. Déng co thie day m6 hinh nay la giam s6 xc thye chéo tir n* xudng n. Mét diém quan trong khac voi cau hinh nay 1a CA trung tim khéng tao ra sit phan cdp. Tat ed cdc thye thé trong cAu hinh déu gitt khéa céng khai ciia CA cye b6, khong c6 khéa ciia CA trung tam, Nhu vay, 16 rang mé hinh nay giam di nhuge digm cia m6 hinh mang nhung Igi gp phai kh6 khiin trong vige thiét Ip bridge CA lam viée voi cdc CA khac trong ha tang co so dé cac CA nay cé thé hoat dong durge v6i nhau. SV Be = |e) (oe oa ca] cs ---s[Raa es Hinh 13 : M6 hinh Hub va SpokeMé hinh nay do US Federal PKI phat trién dau tién, NO mé rng PKIs qua mot s6 16 chite 16n chia sé nhing chinh sdch c6 kha nang tuong thich m6t cach dic bigt va c6 nhiing CA duge thiét lip trade day. 3.7.5. M6 hinh Web Khai nigm vé mé hinh web duge lay ra tir tén cla né (www). Trong m6 hinh nay, mdi nha cung cp trinh duyét gin vao trinh duyét mt hodc nhiéu khéa cong Khai cia mét sé root CA phé bién hodc néi tiéng. Mé hinh nay thiét lap m6t m6 hinh tin tudng ty dong gitta cée root CA ma khéa cia trinh duyét va ngudi sir dung. CA nay duge gin trong Danh sich tin cay phan lon duge sir dung dé xac thye web server ma nhing web server nay duye CA xée nhan trong danh séch trinh duy¢t client. Qué trinh nay duoc thyc hién mét cach tu déng voi giao thire SLL. * Undiem : - De khai vi danh sich da cé sin trong trinh duyét. = Khéng can thay déi khi kim vige véi trinh duyét web (Intemet Explorer, Netscape Navigator) va tign ich Email (Outlook Express, Microsoft Outlook, Netscape Navigator). * Niuege diém : - Vé mit cOng nghé thi cé thé thém hay sira déi mdt root CA méi nhung hiu hét nguoi ding trinh duyét lai khong quen thudc véi céng nghé PKI va phy thudc ‘yao nhiing CA 6 trong trinh duyét nay. ~ Ngudi str dung phai tin tuéng vao danh sich CA trong trinh duyét. Nhung mot cu hoi dit ra a lim thé nao dé cé thé dam bao chic chin vé tinh chit tin cay cia CA ? Cac két qua nghién ciru cho thay ring hign nay nay chua cé cach ndo dé phan bigt mite d6 x4e thye gitta ede chimg chi khac, ~ Khéng thé thong bdo dén tit ca trinh duyét cla ngudi sir dung néu khéa céng khai ctia m6t CA nao dé bj x4m hai. M6 hinh nay don gian trong vige thye thi va déi voi ngudi ding. Do dé 6 kha ning dé trién khai nhanh va sir dung véi cic gidi phdp COST (Commercial of the Shelf) sin c6. Mé hinh nay dc biét thich hgp cho yéu cdu PKI ctia nhitng tg dung dya trén web. 383.7.6. MO hinh ngudi sir dung trung tam Trong mé hinh nay mdi ngudi sir dung true trong viée quyét dinh tin twéng hay tir ‘vong va khéa nay dong vai tro nhur CA ciia ho. Khéa vong chira khéa céng khai durge tin va hoan toan ¢6 trich nhigm bi chimg chi, Mdi ngudi sir dung gid mot khéa ciia nhimg ngudi sir dung khac trong cng déng. M6 hinh nay duge Zimmerman phat é sir dung trong chwong trinh phan mém bao mat PGP. ‘M6 hinh nay cé mét s6 han ché nhw sau : ~ Khéng cé kha nang mé rong va thich hgp véi nhimg mién Ién. - Kho dé dat mite dé tin cdy d6i voi khoa cong duge lay tir ngudi khdc. Khéng c6 sy nhat quan ciia qua trinh xc thye vind phu thuge vao ngudi sir dung - Nguai sir dung phai quan ly PKI va can phai hiéu sau vé no. Mic di cé nhiing nhuge diém song mé hinh nay van thich hop cho vige sit dyng c4 nhan trén Internet. ‘Méi mé hinh déu cé wu va nhuge diém riéng. Viéc ha chon mé hinh nao tly thuéc vao nhiing yéu cau myc dich cua c6ng dong ngudi ding, tong chi phi, thoi gian trién khai, nhn lye quan ly, cong nghé van dé lién quan khac.Chucong 4 : CHUNG CHI SO CA 4.1. GIOI THIEU ‘Mat ma khéa cong khai str dung ep khéa li khéa cong khai va khéa bi mat dé dam bao yéu cau “bi mat, xc thyc, toan ven va chéng chéi b6’”. Mét dic tinh quan trong khde cita luge dé khéa céng khai la phin khéa céng khai duge phin phéi mot cach tyr do, Ngodi ra trong ha ting ma khéa cOng khai thi khéa cOng khai ngoai viée phai Iuén sin c6 dé moi ngudi trong hé thong cé thé sir dung cin phai dim bio vé ‘tinh toan ven, diéu nay 1A rat khé do vay ngudi ra nghi dén chimg chi sé. 4.2. DINH NGHIA ‘Chimg chi sé 1 sw gin két gitta khéa céng khai cia thyc thé véi mét hodc nhiéu thugc tinh lién quan dén thyc thé. Thyc thé cé thé Li ngudi, thiét bj phan cig nhu may tinh, router hay mt phan mém xit ly. Mét ching chi khéa céng khai duge trung tam cp chimg chi c4p, dam bao sy gan két giita khéa céng khai, thyc thé so hizu khéa nay va tap cde thuge tinh khac duge viét trong chimg chi. Ching chi chira nhimg thong tin can thiét nhu khéa e6ng khai, ch thé khoa céng, nguéi cp va mét sé théng tin khac. Tinh hgp Ié cia cdc théng tin duge dim bao bing chit ky sé cia ngudi cdp chimg chi. Ngudi nio muén sit dung chimg chi trude hét sé kiém tra chit ky sé trong chimg chi. Néu né 1a chit ky hgp 1é thi sau 46 06 thé sir dung chimg chi theo muc dich mong muén. 4.3, CHUC NANG CUA CHUNG CHi Chimg chi hay mt may chi, la mot tép tin dign tir duge sir dung dé nhfn biét mét ca nhan, Ot cOng ty ho’e mét vai déi tugng khac va gin chi danh cia déi tugng d6 voi m6t khéa céng khai. Gidng nhu bang lai xe, hd chiéu, ching minh thir hay nhiing gidy to nhan dién c4 nhan thong thuéng khac, chimg chi sé cung cip bang chimg cho sy nhan dign cia mét déi trong. Hé ma héa khéa céng khai sir dung chimg chi s6 dé gidi quyét vin dé mao danh, Trong ching chi s6 chita m6t khéa céng khai duge gin véi mét tén duy nhat ctia m6t déi tong (nhur tén cia mt nhin vién hodc server). Chimg chi s6 gitip ngan chain vige sir dung khéa céng khai cho vige gid mgo. Chi cd khéa cng Khai dugeching thyc boi chimg chi sé méi kim vige véi khéa riéng tuong img dige sé hira boi d6i tung ma chi c6 chi danh da duge chimg thye nam trong chimg chi sé. Ngoai khéa cng khai, mt chimg chi s6 cdn chita thém tén cia déi tong ‘ma n6 nbn dign, han diing, tén eiia CA cp chimg chi s6 d6, ma s6 thir tw va nhing théng tin khdc. Diéu quan trong nhat 1a mét chémg chi sé Iuén luén chita chit ky sé cia CA da cap chimg chi sé 46, giip ngudi sir dung biét va tin vao CA. 4.4, PHAN LOAI CHUNG CHi SO Hé théng cung cap chtmg chi sé (MyCA) duge xiy dumg trén nén hé digu hanh Red Hat Linux. N6 gém 2 mé hinh khdc nhau : ~ MG hinh cfip phat, quan ly va hity bé chimg chi do ngudi sir dung ty sinh khéa, - Mé hinh cp phat, quin Ii va hiy bd chimg chi do trung tam sinh khéa (duge goi 1a mé hinh sinh khéa tp trung). Di nhién véi mé hinh nao thi vige quan li khéa cing déu do CA dim nhiém. M6t sé loai ching chi : ~ Chimg chi khéa c6ng X.509 - Chimg chi khéa cng don gian (Simple Public Key Certificates - SPKC). - Chimng chi sir dung Pretty Good Privacy (PGP). - Chimg chi thugc tinh (Attribute Certificate - AC) Tat ca cdc logi chimg chi nay déu ¢6 céu trie dinh dang riéng. Hign nay chimg chi khéa céng khai X.509 duge sir dung phé bién trong hau hét cdc hé théng PKL, chinh vi vay trong phan tiép theo tdi trinh bay vé chimg chi khéa cong khai X.509. 4.5. CHUNG CHi KHOA CONG KHAI X.509 Chimg chi X.509 v3 1a dinh dang chimg chi duge sir dung pho bién va duge hau hét cdc nha cung cp san phim PKI trién khai. Ching chi khéa céng khai X.509 dugc H@i vién théng quéc té (ITU) dua ra Lin dau tién vio nim 1988 nhw phan cia dich vy thu myc X.509, Chimg chi gdm 2 phan: Phan dau 1a nhing trudéng co ban cin thiét phai c6 trong ching chi. Phan thir hai chira thém mdt sé trudng phy, nhiing trudng phy nay duge goi la truong mé rong ding dé xée dinh va dap img nhimg yéu cau bé sung cia hé théng. Khuén dang ciia chimg chi X.509 duge chi & hinh bén dudi :Version Number Serial Number Signature Issuer Validity Period Subject Subject Public Key Infomation Issuer Unique identifier Subject Unique identifier Extensions. ‘Hinh 15 ; Khudn dang chimg chi X.509 4.5.1. Nhiing trurdng co ban céta ching chi X.509 = Version : Xac dinh sé phién ban cua chitg chi, - Certificate Serial Number : do CA gin, 18 dinh danh duy nhdt eta chimg chi. - Signature Algorithm ID : Chi ra thugt ton CA sir dung dé ky s6 chimg chi, Cé thé 1A thugt ton RSA hoe DSA... = Issuer : chi ra CA cap va ky chimg chi. - Validity Period : khong thi gian chimg chi c6 higu Ive. Trung nay xée inh thai gian ching chi bat dau - Subject : xc dinh thyc thé ma khéa céng khai cua thye thé nay xéc nhan, Tén cia subject phai duy nhat déi véi mdi thye thé CA xa nhan. - Subject public key infomation : chita kha cOng khai va nhing tham s6 Jign quan ; xe dinh thuat toan (vi dy RSA ho%e DSA) duyge sir dung cing voi khéa. - Issuer Unique ID : 1a truémg khong bitt bude, truimg nay cho phép sir dung Iai tén cia subject khi qué han, Trudng hgp nay eiing it durge sir dung. - Extensuons : chi cé trong chimng chi v3.- Certification Authority’s Digital Signature : chit ky sé ciia CA duge tinh tir ning thong tin trén chimng chi vé khéa rigng va thudt todn ky sé duge chi ra trong trudng Signature Algorihm Identifier cia chimg chi, Tinh toan ven ctia chimg chi durge dim bao bing chit ky s6 cia CA trén chimg chi. Khéa céng khai cia CA duge phan phéi dén ngudi sir dung chimg chi theo mét s6 co ché bao mat trude khi thy hién cdc thao tic PKI. Ngudi sir dung kiém tra higu lye cla chang chi duge edp véi chit ky s6 cia CA va khéa cOng khai cua CA. 4.5.2. Nhimg truing mé rong eiia ehimg chi X.509 Phan mo r6ng 1 nhitng théng tin thugc tinh can thiét duge dura vao dé gin nhing thude tinh nay véi ngudi sit dung hay khéa céng. Nhing thong tin trong phan mé r6ng thuéng duge ding dé quan ly xac thye phan cap, chinh sach chimg chi, thong tin vé chimg chi bj thu hdi... N6 eiing cé thé duge sit dung d8 dinh nghia phan mé réng riéng chtra nhimg théng tin dic trung cho c6ng déng nhit dinh. Méi trudng mé rng trong ching chi duge thiét ké véi co “critical” hoe ‘“Uncritical””. - Authority Key Indentifier : chita ID khéa céng khai cua CA. ID nay la duy nhat va duge ding dé kiém tra chit ky sé trén chimg chi. Né cing duge sit dung 4é phan biét gitta cdc cip khéa do mt CA sir dung (trong trudng hyp néu CA 6 nhiéu hon mét khéa céng khai). Truong nay duge sit dung cho tat ca cdc chimg chi tu ky sé (CA- certificates). - Subject Key Ident sit dung aé phan chimg chi cia ngudi sir dung (Néu chi thé cé nhiéu hon mét khéa cng Khai). jer: chia ID khéa c6ng khai c6 trong chimg chi va duage +t gidta cdc khéa néu nhu cé nhiéu khéa duge gin vao trong cing - Key Usage : chita mt chudi bit duge ding dé xc dinh (hoge han ché) chite ning hofie dich vy duge hé try qua vige sir dung khéa edng Khai trong chimg chi. - Extended Key Usage : chita mt hoic nhiéu OIDs (dinh danh déi tugng- Object Identifier) dé xc dinh cy thé vige sit dung khéa céng trong chimg chi. Cac gid tri c6 thé 1a : (1) xde thye server TLS, (2) xde thue client TLS, (3) Ky Ma, (4) bao mat email, (5) Tem thai gian. - CRL Distribution Point : chi ra vi tri cla CRL tte Li noi hign e6 thong tin thu hdi chimg chi, N6 ¢6 thé Li URI (Uniform Resource Indicator), dia chi cia X.509 hoc LDAP server.- Private Key Usage Period : truéng nay cho biét théi gian sir dung cia khéa riéng gin véi khéa céng khai trong chimg chi, - Certificate Policies : trudng nay chi ra dy cdc chinh sich OIDs gin véi vige cp va sit dung chitng chi. - Policy Mappings : truéng nay chi ra cdc chinh sach xac thyc trong duong gitta hai mién CA. N6 duge sir dung trong vige thiét lap xac thye chéo va tra during dn chimg chi, Truéng nay chi c6 trong chimg chi CA. - Subject Alternative Name : chi ra nhimg dang tén Iya chon gin voi ngudi sé ‘itu chimg chi. Nhiing gid tri c6 thé La: dja chi e-mail, dia chi IP, dia chi URL - Issuer Alternative Name : chi ra ning dang tén Iya chon gin véi ngudi cp chimg chi. ~ Subject Directory Attributes : trudng nay chi ra day cdc thuge tinh gin V6i ngudi sé hitu ching chi, Trudng mé rng ndy khong duge sir dung rng rai. NO dugc ding dé chira nhimg thong tin lién quan dén dic quyén. - Basic Constrains Field : trudng nay cho biét day e6 phai la chimg chi CA hay khéng bang cach thiét lap gid tri logic (true). Truéng nay chi ¢6 trong chimg chi CA. Chimg chi CA ding dé thyc hign mét s6 chite ning. Chimg chi nay c6 thé & ‘m6t trong hai dang. Néu CA tao ra chimg chi dé ty sir dung, chimg chi nay duge goi 18 chimg chi CA ty ky. Khi mOt CA méi duge thidt lap, CA tgo ra mot ching chi CA tu ky dé ky lén chimg chi cia ngudi sir dung cudi trong hé thong. Va dang thir hai la CA cdp chimg chi cho nhimg CA khic trong hé théng. - Path Length Contraint : trng nay chi ra sé d6 dai tdi da cia duréng din chimg chi c6 thé duge thiét lap. Gia tri ‘‘zero”’ chi ra ring CA chi cé thé cap chimg chi cho thyc thé cudi, khéng cp chtmg chi cho nhimg CA khac. (Trudng nay chi co trong chiig chi ciia CA). - Name Constrainsts luge ding dé bao gdm hose logi trir cde nhanh trong nhiing mién khdc nhau trong khi thiét lp méi trudng tin tung gitta cic mién PKL. ~ Policy Constraints : dugc ding dé bao gdm hode loai trix mét sé chinh sdch chimg chi trong khi thiét lap m6i trudng tin tuéng gitta cic mién PKI. 4.5.3. Thu hoi ching chi ‘Trong mot s6 trudmg hyp nhur khéa bj x4m hai, hoje ngudi sé hitu chimg chi thay di vj tri, co quan... thi chimg chi da duge cp khéng c6 higu lye. Do 46, canphai co m@t eo ché cho phép ngudi sir dung chimg chi kiém tra duge trang thai thu hhdi chimg chi. X.509 cho phép kiém tra chimg chi trong nhimng truéng hgp sau : - Chimg chi khéng bj thu hoi = Ching chi da bi CA cfp thu hii. ~ Chimg chi do mét t chire c6 thm quyén ma CA wy thdc cé trach nhi thu hdi chimg chi thu héi. Co ché thu héi X.509 xéc dinh 1a sir dung danh séch thu héi ching chi (CRLs). X.509 dura ra siz phan bigt gitta ngay, thai gian chimg chi bj CA thu héi va ngay, thoi gian trang thai thu hdi duge cong bé dau tién. Ngay thu héi thye su duge ghi cing véi dau vio chimg chi trong CRL. Ngay thong bao thu hdi duge xée dink trong header iia CRL khi né durge cdng bé. Vj tri cua théng tin thu hdi cé thé khac nhau tiy theo CA khée nhau, Ban than chimg chi cé thé chita con tré dén noi thong tin thu héi duge xac dinh vi tri. Ngudi sir dung chimg chi cé thé biét thu myc, kho Jun trit hay co ché dé lay durge théng tin thu hoi dya trén nhimg thong tin cau hinh duge thiét lap trong qua trinh khéi sinh. Dé duy tri tinh nhdt quén va kha nang kiém tra, CA yéu cdu - Duy tri ban ghi kiém tra chimg chi thu héi. ~ Cung cap théng tin trang thai thu hdi. - Cong bS CRLs khi CRL 1a danh sach 4.5.4, Chinh sich cia ehimg chi Nhu duge giéi thigu trong phan trén, mOt sé mé rong lién quan dén chinh sich e6 trong chimg chi. Nhiing mé rng lién quan dén chinh séch niy duge sit dung trong khi thiét lap xdc thye chéo gitta cée mién PKI. Mét chinh sach ching chi trong X.509 duge dinh nghia la“ tén ciia tap cdc quy tic chi ra kha ning 6 thé sir dung cia chimg chi cho mt tap thé die tha va mOt lp tng dung véi yéu edu bao mét chung’’. Chinh séch cé dinh danh duy nhat (duge biét dén nhu dinh danh déi tuong hay OID) va dinh danh nay dugc ding ky dé ngudi cdp va ngudi sir dung chimg chi cé thé nhan ra va tham chiéu dén, M6t ching chi cé thé duge edp theo nhiéu chinh sich. M6t 6 cé thé 1a thi tue va mé ta mire dim bao gin véi viée tao va quin ly chimg chi, Nhiing chinh sich khée c6 thé 1a ky that va mé t mire dim bao gin véi an toan cia hé théng duge dir dung dé tao chimg chi hay noi hru trit khéa.M6t chinh sch chimg chi cling e6 thé duge hiéu 14 vige gidi thich nhimg yéu cau va gidi han lién quan dén vige sir dung chimg chi duc céng bé theo chinh sach nay. Chinh sich chimg chi- Certificate Polices (CP) duge chia trong tring mo rong chudn cia chimg chi X.509. Bang viée kiém tra trudng nay trong chimg chi, hé théng sir dung ching chi c6 thé xéc dinh duge mét chimg chi cy thé cé thich hop cho mye dich sir dung hay khéng. MOt thujt ngit chuyén mén khéc « Certificate Practice Statement (CPS) » dugc sir dung 48 mé ta chi tiét nhing tha tuc hoat d6ng bén trong cla CA va PKI cip chimg chi v6i chinh sich chimg chi 43 quy dinh. Chinh sch chimg chi dic biét quan trong khi dua ra quyét dinh dé xde nhan chéo hai PKI khdc nhau, 4.5.5. Cong bé va giti thong bao thu hdi ching chi Thong thudng chimg chi s& hgp Ié trong khoang thoi gian e6 higu tye. ‘Nhung trong mét sé truéng hop chimg chi lai khong hop Ié trudc théi gian hét han, vi dy nhur - Khéa riéng cia chi thé bj xam pham = Théng tin chita trong chimg chi bj thay déi ~ Khod rigng eta CA cp chimg chi bj x4m pham, ‘Trong trong hgp nay can cé mét co ché dé théng bao dén ngudi sir dung khéc. M6t trong nhitng phuong phdp dé thong bo dén ngudi sir dung vé trangj thai cita chimg chi la céng bé CRLs dinh ky hoa khi cin t t. Ngoaii ra, c6 m6t s6 cach Iya chon khac dé théng bao dn nguoi sir dyng nhu ding phuong php tryc tuyén Online Certificate Status Protocol. 4.5.5.1. Certiicate Revolucation List (CRLs) CRLs la cu tric dit ligu duoc ky nhu ching chi ngudi sir dung. CRLs chita danh sach cic chimg chi cia ngudi sir dung .CRLs thuéng do mét CA cung cap. Tuy nhién, CRL cing cé6 thé duge sir dung dé cung cap théng tin cho nhiéu CA néu 1né duge dinh nghia nhur mot CRL giin tiép. Nhiimg théng tin nay durge chira trong trugng mé rong CRL Scope. Nhiing ching chi da bj CA thu héi duge ghi vao danh sach theo thtr ty cia revoked Certificate. Mdi diu vio nhan biét chimg chi théng qua s6 serial va ngay thu trén d6 06 ghi r6 thai gian va ngay khi chimg chi bj CA thu hdi 46Version number Signature Issuer ‘This update Next update ‘User certificate Date of serial number revocation Revocation reason User certificate Date of serial number revocation Revocation reason CRE extensions Hinh 16: Khudn dang danh sich bj thu hdi Trong dé : ~ Version number : chi ra phién bin cla CRL - Signature : nhin biét loai ham bim va thuat ton ky duge sir dung dé ky danh sich thu hoi CRL Issuer : tén ca thuc thé cdp va ky CRL ‘This Update : chi ra ngay va thdi gian CRL duge céng bd Next Update : chi ra ngay va théi gian danh sich thu héi ké tigp durge cp List of revoked certificates : chira danh sich cing véi serial ciia nhimg chémg chi bj thu hdi 4.5.5.2. Authority Revocation List (ARLs) ARL la mot CRL dic bigt chita théng tin thu hdi vé chimg chi CA. ARLs khéng chita chimg chi cia ngudi sir dung cudi. Nhimg thay d6i thong thudng trong ARL thudng hiém khi xay ra boi vi chimg chi etia CA chi bj thu héi khi khod rigng cua CA bj xdm hai va dé Iai ld trudng hop khOng thudng xay ra, Néu chimg chi chéo bj thu hé thi ngudi c4p ching chi chéo nay sé céng bé mét ARL méi dé théng bao vai tit ca cde thuc thé khée vé tinh huéng nay. ARLs duge sit dung chi yéu trong qué trinh thm tra duéng din chimg chi néu méi trudng tin cay bao ghm CA. 6 chimg chi xée thyre chéo,4.5.5.3. Co’ ché truy van On —line (On —line Query Mechanisms) CRLs va ARLs gitip ngudi sir dung cudi nhdn biét duge vé tinh trang thu hoi chimg chi. Nhung c6 mt van dé nay sinh la diéu gi sé xay ra néu CA thu hdi chimg chi ngay sau khi vira cong b6 CRL. Khéng c6 ngudi sir dung nao nh§n biét duge ve di nay dén khi mOt CRL méi duge théng bao. M@t luge dd khiée dé kiém sot duge trang thai cla chimg chi do IETF phat trién 1 OCSP (Online Certificate Status Responder). Luge dd nay dya trén co ché truy van tryc tiép hon viée céng bé dinh ky CRLss va ARLs. OCSP la giao thire yeu clu tra 1di dua ra co ché dé nhan duge théng tin thu hdi true tayén tir thy thé tin cy 1A ‘OCSP Reply’ véi trang thdi cia mdi chimg chi. Chimg chi c6 thé & mot trong ba trang thai sau : ‘good’, ‘revoked’ va ‘unknown’ vige thu ‘Sir dung dich vy online cé mét sé wu diém sau - Tra I0i thuing xuyén va ludn e6 tinh chit méi - Tho gian tra bi nhanh ~ Giam thiéu vige sir dung bang théng mang sin c6. ~ Téng phi xir ly phia client thap ‘Tuy nhién dich vu online cé han ché trong trudng hop can kiém tra trang thai thu ‘hoi nhung khéng online. Van dé vé bao mat cing durge dat ra khi sir dung dich vu nay. Hinh 2.5 li dich vy kiém tra online voi OCSP Responder la dich vu khée nhau. 4.6. MOT SO CONG NGHE SU DUNG TRONG PKI 4.6.1. Cong nghé SSL (Secure Socket Layer) SSL 1A m6t giao thire c6 thé duge dat & ting mang va tang tng dyng. SSL. cung cAp dich vy truyén théng cé bao mat gitta client va server bing viée cho phép client va server xdc thye ln nhau sir dung chit ky s6 va bao mit théng tin trao doi qua lai bing cdch ma hod cdc théng tin 46. Giao thitc nay duge thiét ké 48 cé thé tro giip mét loat céc thuat toan sir dung cho vige ma hod, ham bam, chit ky s6. Giao thie SSL ¢6 ba phién bin - SSLv2: day li phién bin diu tién cita giao thie SSL do Netscape Corporation thiét ké, chura 6 trg gitip chain certificate 48.- SSLv3 : day la phién bin SSL version 3.0 do Netscape Corporation thiét kém, duge tung ra thj truéng vao thang 3 nam 1996, c6 tro gidp quan li chudi (chain certificate) va duge suport cho tat ca cae trinh duyét phé thong - TLSvI : day lA giao thite Transport Layer Security version 1.0, dua trén cor s6 cla SSLv3 dugc thiét ké béi IETF (Internet Engineering Task Porce) nhung hi¢n né chura duge suport cho céc trinh duy¢t MOt s6 diém chi ¥ : diém quan trong cia SSLv3 va TLSvI la 6 tre gitip vige nap chudi. Véi dic diém duge bé sung nay sé cho phép server va client cé thé thie hién viée xac thye lin nhau ma cé thé d6i tong thye hién xéc thye khéng can phai cai céc intermediate issuers. - TLSv1 dye trén nén ting la SSLv3 trong 46 c6 bé sung phan block padding cho cée thugt toan ma khéi, chudn hod thir ty céc message va bé sung thém cdc thong bao trong phién lién lac. - Céc phién ban trén cing nhu céc thuat toan ma hod, thujt todn trao adi khod, ham bam hoan toan cé thé duge chi ra cy thé khi thiét lap cau hinh str dung SSL cho Web server va mét sé trinh duyét. ‘V6i nhu cau thye té in nay SSL2 it duge sir dung. Bén canh a6 do c6 sir tuong img gitta SSLv3 va TLSv1, hon nita hign tai trong thye té TLSv1 chua durge tich hgp co mét sé trinh duyét phé théng, nén téi chi dé cap dén SSIv3. Giao thie SSLv3 gdm hai thanh phin Handshake va Record porocol. SSLv3 Record protocol cung cp co ché bao mit voi thuat to4n ma hoa nhu DES, RC4 ... va giao thire két néi cé sir dung ham kiém tra MAC trong qué trinh trao déi dir ligu. Con SSLv3 Handshake protocol thyc sit dung cho SSLv3 Record protocol. Toan xée thye déi tac, trao déi cae gid tri secure (an toan) iao thire SSLv3 va moi lién né véi ting img dung va ting TCP cé thé mé ta nhu so dé duéi day.SSL ssl. Handshake | Change | SSL_Alen Procol | Cipher Spee | Proweat Application Layer TCP tage - Layer Hinh 17 : Giao thie SSL 46.1.1. Record protocol Giao thie SSLv3 Record li mt ting giao thite. D6i véi mbi giao thire néi chung, mt goi di ligu s& bao gim cae tnrimg dé di, mé ta vi nGi dung dit ligu, SSLv3 Record nan dir ligu cn giri tir tng trén phan nho thanh timg block, nén dir ligu, bd sung dir ligu kiém tra, ma hod va giti, Khi nhan dit ligu vé tién trinh duge thyc hién nguge lai : gidi ma, ma hoa va giti. Khi nhén dit ligu vé tién trinh durge thyc hign nguge lai : gidi ma, kiém tra, g6nén va sip xép Iai rdi giri Ién ting trén. 4.6.1.2. Handshake protocol Cée tham sé {it mi lién quan dén phién lién lac duge thy hign thong qua SSLv3 Handshake protocol, né nim ngay bén trén SSL Record Layer. Khi SSL client va SSL server bat dau mdt phién lién lac ching can théng nhat vé phién ban ciia giao thite sé durge ding, Iya chon thuat todin ma hod cho phién lién Igc, c6 thé co hodic khéng viéc xc thc lin nhau va sir dung thuat ton ma hod khod c6ng khai dé sinh khoa chung cho phién lién lac do. Nhing dic tinh SSL gitip bao mat dit ligu : 1. Cac bén giao tiép (nghia IA client va server) c6 thé xac thyc nhau bing cach str dung mat ma khod chung 2. Tinh bao mit cia dit ligu duge dim bao vi trong sudt qué trinh truyén ludn. uén durge bao ve 503. Tinh xc thye va tinh toan ven cia dir ligu cing duge dim bao vi trong qua trinh truyén dé ligu duge xéc thye, kiém tra bang cach sir dung MAC, Han ché ctia SSL : SSL khéng ngiin chin duge mét s6 cudc tn céng ciia déi phuéng nham vao phan tich Iuu Iuong. (Dia chi IP ngudn va dich khéng duge ma céng TCP 1a nhimg déi tong thwang bi tan cong trén co s6 dé ching cé thé xe dinh durge céc bén tham gia, cfc théng tin lign quan) 4.6.2. Cong nghg LDAP Hign nay m6t diéu t6i quan trong dé viét duge nhimg phan mém Ién la phai biét Khai thac, tich hop dir ligu tir cdc hé thong khac nhau, Mét chuong trinh lén co rit nhiéu modul, mdi modul lai duge thiét ké trén mot nén tang dit ligu khée nhaw nhu : c6 ngudi ding Oracle véi AS Portal, cé ngudi ding DB2 véi WebSphere, MSQL voi PHPnuke...vay phai lam thé ndo ? Cau tra ldi chinh 18 sir dung LDAP. Vay LDAP li gi? LDAP( Lightweight Directory Access Protocol) ta dich la Giao thite truy cp nhanh cde djch vy thu myc. LDAP la mét giao thirc Client/Server dé truy mét Directory Server(Dich vu thu myc), cé thé xem Directory nh mét co sé dit tuy nhién ddi vi cdc doc duge céc dit ligu qua hon viée ghi dir C6 nhigu directory thurémg cach khe nhau dé thi truy vin, truy nh§p dén cor sé dit ligu trong Directory va LDAP cing dya trén mo hinh Client/Server. Mgt hod nhigu LDAP server Iuu dir ligu tao lén ede cdy thir myc LDAp hoi cic backed database. LDAP client két néi t6i LDAP server, dua lip mét Directory va cing cé nhiéu cach 48 tham chiéu, yéu clu dé LDAP server thuc hién va tra lai két qua cho client. Pulic Database Server li mét hod nhiéu may cai djt LDAP server, trén 46 luu trit cdc chimg chi da duge phat hanh cho ngudi sir dung, cae chimg chi ciia may server thuéc hé théng, cdc CRL do cdc CA server phat hanh. Mét sé chire ning chinh gianh cho ngudi sir dyng khi truy cp dén Web Pulic Database :‘Tén myc, chite ning ‘M6 ta chite nang chinh Chite nding « Dowload CA certificase chain from LDAP » bao gom2 myc: « Get CA certificate for IE & IIS «Get CA certificate for Apache & Netscape Ngudi sir dung ding chire ning 4& tim kiém va tai chimg chi cla Root CA tir database server vé cho ngudi sir ding Window. (Trong trxong hop CA nhieu cp tim kiém theo tén via CA ¢é cic chimng chi trogn chudi cde chimg chi can tim) Negudi sir dung ding chire ning 4& tim kiém va tai chimg chi eda Root CA tir database server vé cho ngudi sir dung dimg Netscape va Apache trén mdi trudng Linux. (Trong trang hyp CA nhiéu cap tim kié theo tén cia CA bac thip tong ce CA c6 che chimg chi trong chudi cde chimg chi can tim Chite nfing « Dowload certificates from LDAP » bao gm 2 mu : «Get Certificate for Netscape Brower, Apache server » Nguoi sir dung ding chife ning dé tim kiem( theo mail duge ding ky trong ching chi can tim) va tai chimg chi tir database server vé cho ngudi sit dung ding Linux « Get Certifi for IE & IIS » Neudi sir dung ding chire nang 48 tim kiém (theo mail duge ding ky trong ching chi cin tim) va tai chimg chi tir database server vé cho ngudi sir dung ding Windows Chife ning « Update CRLs » bao gdm 06 3 myc sau : « Update current CRLs for Netscape Neudi sir dung ding chite ning tim kiém (theo tén cua CA phat hanh ra CRL can. tim) va cp nhat CRL a6 cho Netscape trén Linux «Get current CRLs for Apache server Neudi sit dung ding chite ning dé tim Kiem (theo tén cia CA phat anh ra CRL CRL 6 vé cho ngudti sit dung dé cai dat cho IE va IIS trén Windows « Get current CRLs for IE & TIS » Ngudi sir dung ding chite ning d€ tim kiém (theo ténetia CA phat hinh ra CRL, can tim) va tai CRL d6 vé cho ngudi sir dung ding dé cai dit cho TE va TIS trén Windows 52- La mét gido thite tim, truy ep cae théng tin dang th mye trén server. - NO la giao thire dang Client/Server diing dé truy cap dich vy thu mye - LDAP chay trén TCP/IP hoac cdc dich vu hung két néi khac. = Cho phép xée dinh céu tric va dae diém cia théng tin trong thur myc. = M@tmd hinh céc thao tic cho phép xéc dinh céc tham chiéu va phan b6 dit ligu. - La mét giao thite mé réng. Thu mye trong LDAP duge hiéu réng hon khai nigm the mye trong Windows, né bao gém cac cau tric dit ligu dang liét ké theo th muc. Trong hé théng MyCA cdc chimg chi va CRL ciia ngudi sir dyng duge trung tam phat hanh huu trit trén mét co sé dit ligu céng khai, dé ngudi sir dung cé thé tai cdc chimg chi va cp nhat CRL tir cor sé 46. Dong thai dim bao yéu cau viée cap nhat dit ligu tir cic may chi (CA server) phai nhanh chéng, chinh xéc, phii hgp véi kiéu dit ligu c6 céu tric nhu cde chimg chi. Dé lam duge diéu nay cé rit nhiéu hé quan tri co sé dit ligu cé thé dap tg, hién nay cé LDAP duge sir dung phé bién va higu qua. Méi quan hé va trao déi dit ligu gitta cae thanh phan véi Pulic Database Server duge minh hog bang hinh sau MyCA Export CRL, Cert GAs peepee reece eee RAOs Export user's certificates LDAP Server ‘Query CRLs MyCA — | Query CRI va certificates Users Hinh 18 : M6 hinh quan hé va trao d6i dir ligu gitra cic thinh phan trong hé thong‘MGi quan hé gitta LDAP server véi céc may chu trong hé théng cé thé phan im 2 loai : = May CA trong hé théng khi phat hinh CRL sé cp nhat CRL nay ra LDAP server. Khi ngudi str dung dén trung tém nhan chimg chi, déng thai véi viée cp chimg chi cho ngudi sir dung, chimg chi dé eting duge export ra LDAP tir may CA, nguye Iai khi e6 chimg nhan cho vige chimg chi cla ngudi sir dung 48 durge huy bo, tir méy CA ngudi quan trj tray cp t6i LDAP dé truy van CRL. = Ngudi sir dung cé thé ding mét trang web ring cé thé truy cap dén LDAP Database server bat cit lic nao dé tai chimg chi cing nhu cp nhit céc CRL. 34Chiong 5 ; UNG DUNG CUA CA 5.1. UNG DUNG CA TRONG DICH VY WEB 5.1.1. Dat van ad Hign nay Internet dang duge sir dung phé bién trong doi ng ciia ching ta, ching ta khéng thé pha nhan vai tr to 1én cia Internet. Vi éc két néi quan mang Internet hién nay chi yéu sir dung giao thite TCP/P cho phép thong tin giti tir may nay téi may khac théng qua mét hoje nhiéu tram trung gian. Tuy nhién, chinh vi tinh linh hoat nay da tao diéu kign cho bén thir 3 c6 thé : nghe trom, gid mao, mao danh, lay cdp...thong tin cdn truyén. Dic biét trong linh ve thuong mai dién tir thi ng dung trén web rat can duge bao vé. Ciing xuat phat tir thye té dé nén yéu cau can bao vé thong tin trén web duge dit ra, 5.1.2. quyét van ad ‘Hé mat ma khoa céng khai voi chimg chi sé cé thé iai quyét duge mét sé vn dé lién quan dén dam bao théng tin trén web nhu : Ma hoa va giai ma : Cho phép hai bén trao adi thng tin voi nhau nhung, théng tin dé sé durge che gidu ma chi ho méi biét. Ngudi giri sé ma hoa théng tin trude hi giti ching di, ngudi nhiin sé gidi mx né dé doe duge thong tin. ~ Chong gi mao : Cho phép nguéi nhan kiém tra théng tin c6 bj thay déi hay khong, bat er mot sy thay di nao ciing bj phat hién. - Xéc the : Cho phép ngudi nhin xée dinh duge bi danh cha ngudi gui. -Khéng thé chéi ligu minh da gir. 5.1.3, Cai dit ching chi chi trinh duyét Internet Explorer a. Cac chig chi do hé théng MyCA cAp cho ngudi sir dung déu ding thuat ton RSA véi modulo 1024 bit nhung di véi trinh duyét IE 5.0 cho phép cai dit i ngudn géc : ngin chin ngudi giri chdi cdi ngudn géc tai cae chimg chi c6 46 dai khoa céng khai khéng qua 512bit. Dé cai duge thi ta cin phai cai dit phan mém hé tro trude (tép ieSdom.exe). Dé cai dt ngudi sit dung chi can kich vao tép ieSdom.exe roi lam tiép theo hung din. Sau khi thye hign xong bgn edn khdi dng lai dé tign ich €6 higu Ite.Sau khi cai dit, nguéi sit dung mé TE, chon menw/Tools/Internet Options, chon Tab ‘contents * rdi chon nuit Iénh “Certificate "* sé thdy xuat hign ching chi vita duge cai trong thu mye. Muén xem lai théng tin vé ching chi ciia minh si dung chon nut “* View", cuar sé hién ra cdc théng sé. Cing véi viée vai dat chimg chi cla ngudi sir dung, cae chimg chi cla CA cing dong thii duge cai dit, néu chon tab “* Trust Root Ceriticate Authorities "* s® xudt hign RootCA phat hinh ra chimg chi cia ngudi str dung. NOi dung chimg chi ciia RootCA sé duge luu vio Registry. Sau khi cdi dat xong cac chimg chi, ngudi sit dung can thiét lap cau hinh cho IE: Chon menu Tools/Intemet Options’ Advance. Trong mye Setting ban chon “ Use SSL 3.0" hojc “* Use TLS 1.0” roi nhan OK. a. Cai d§t chimg chi cho IE. (Qué trinh cai dt chimg chi cho Netscape tién hanh theo cée bude sau : ~ Trén menu cia trinh duyét Netscape ban chon chite nang “* Security ** ~Chon “ Your" trong thir mye “* Your Certificates "", rdi chon “ Import a Certificate ’” -Ngudi sir dung nhap mgt khdu dé truy nhgp t6i co sé dit Higu hu chimg chi ctia Netscape, chon OK. -Ngudi sit dung chop tép chimg chi cn cai dat roi nhap OK, sau d6 nhap mat khau, - Buc tiép theo 1a nhp tén chimg chi rdi chon OK/ Dé ching chi c6 higu Ic, ngudi sir dung nhdt cAn thiét lap thude tinh cho Netscape chip nh§n RootCA vira cai la Certificate Authority. 5.2. UNG DUNG CA TRONG DICH VU E-MAIL 5.2.1, Dat vin a2 Email (Electrolic Mail) hay cn goi la thu dign tir ngiy cng déng vai trd quan trong trong doi séng vi nhiing wu diém nhu : théng digp cé thé giri di nhanh chong (phé bién nhat 1a qua mang Internet) dén khach hang, dng nghiép, d6i tac..ma gid thinh ré, dé thao tée. Nhiing théng tin d6 e6 thé 18 thong tin c& nhan (thm hoi site 56khoé, théng bao tinh hinh gia dinh...), hyp dng thuong mai, néi chung la c6 rét nhiéu thong tin mang tinh nhay cam, khéng nén dé 16 hoje dé ngudi khéc biét duge. Vi nhimg théng tin nay c6 thé bj ngudi khac doe durge, ly durge, gid mgo...Day chinh la vin dé dat ra d6i v6i cOng tée dim bio an ton théng tin : lam thé ndo dé dim bio thong tin khi truyén qua dich vu mail van con nguyén ven ? ‘Mé6t trong nhimg img dung quan trong ciia chimg chi s6 ki ma ho va xée thyre thu dign tir, Ngudi sir dung c6 thé cai dgt chimg chi s6 da duge phat hinh tir mot tir €6 bao mat v Trung tam cp chtmg chi s6 nao dé dé thye hign trao déi thr ngudi ding khéc ma cing chung hé thang CA. Trong chuong nay, t6i gidi thigu cach sir dung chimg chi s6 duge cap bai hé thong MyCA trén Outlook Express. 5.2.2. Cai Ait ching chi sé. pé dé hinh dung, tdi xin chon dich vu cla Céng ty phan mém va truyén théng VASC dé mé ta qué trinh ding ky chimg chi cho email cia ban, Hign tai, Cong ty c6 2 sin phim cho ban lya chon 1a VASC Individual-Demo va VASC Individual Class3. Véi ban demo thi thai gian sir dung 1a 30 ngay, mign phi nhung cong ty s& khdng chiu tréch nhigm vé ndi dung chuong trinh cén nguge Iai ban Class3 ban phai tra phi do dé ban sé duge huéng cac dich vu tét nhat. Sau day téi m6 ta cach dang ky dich vu VASC Individual ~ Ban vao camaster@vase.com.vn dé ding ky, ban can nhiip day di cae thong tin: Thong tin c4 nhan = +Ho va tén + Dja chi email + Té chic + Don vi + Tinh/ Thanh phé + Quin/ Huyén + Quédc tich Mat khau: + Mat khdu + Xée nhan. Théng tin thém : Néu c6 bat ky yéu cdu nao thi ban nhap vao day Sau khi dang ky xong thi vao email ctia ban yéu cau xdc nhan théng tin, néu thong tin duge xée nbn thi hign én bang :KET LUAN Qua 2 phan da trinh bay 6 trén, ta thy ring tit cd vin dé déu lién quan dén an nin théng tin - mét van 4@ hét sire nhay cam, c6 lién quan mat thiét dén chinh tri, an ninh, tinh bao, kinh té va déi ngoai...Hién nay nuéc ta dang nghién citu, xy dung va trién khai mét hé théng PKI gdm mt s6 CA. Vé CA cé khoa tip trung dy kién dt Roof CA tai Ban Co yéu thude BO ndi vu, né duge sir dung cha yéu cho cic co quan Nha nude hoge co quan ban nginh lién quan. Con CA khong mang khod tip trung phye vu cho tat ca linh vue kinh té - xa hdi nhwr thong mai dign tir, thi s€ duge dit tgi BO Buu chinh Vign thong. (MGt cau hoi tyr nhién dit ra 1a : vay ai sé chju trach nhigm kiém sodt, gid sat vé sy an toan théng tin khi PKI di vio hoat dng ? Em thay ring khéng ai khée ngoai BO ng an. Theo em duge biét cac co quan chtre nang duge B6 giao giam sdt/ kiém soat an ninh théng tin la Téng cuc An ninh. Nhung em tin ring chura cé don vj nao nghién ctu van dé PKI ca. Dé kiém soat, giam sat an toan thong tin én hé théng PKI, truée hét ching ta can nghién ciru ngay tir bay gid, nhig 16 hong ciia hé théng va cach thie gidm sat/kiém soat nhu thé nio dé dim bao yéu cau dat ra. Theo em biét 6 day 1a diéu dang tiéc. Boi vi & cac nue c6 hé théng nay déu nim dudi sur chi dao cua Cé quan An ninh Quéc gia. ‘Dé chit dng trong vige gidm sit/kiém soat 46i v6i PKI, em xin manh dan dé xulit : Nganh Céng an nén thanh lap mét don vi gm cae chuyén vién kha sau ve céng nghé théng tin dé tap trung nghién ciru nhiing 16 héng (chic chan cé thé xay ra) déi véi hé théng PKI va Cas (Certificate Authorities). Dé Lim vige tét ching ta can c6 mang kiém soat, cho phép két ndi voi cic Roof CA, nghién ctu céc tiéu chun cho PKI 6 Vigt Nam va cde nude trén thé gidi. Tir dé phat hign ra cdc 1 hong trén linh vuc xac thuc, chit ky s6 va dé xuat cde bign phap giti én co quan cé tham quyén cao nhit ra quyét dinh. Ngay ti bay gid, khoa Toan-Tin cia hoc vién An ninh nhan dan cé6 vai tro dong gép ngudn nhan lye tré duge dao tgo tit vé cong nghé thong tin n6i chung, vé Tinh vye an ninh, an toan théng tin qude gia noi riéng. 58Em duge biét hign nay B6 cong an cé mét don vi dam nhiém chic nang dim bao an ninh, an toan thong tin quée gia 46 1d A22(tire Cue ky thuat nghigp vy D. Nhung don vj nay chwa cé mt phong nghigp vy Thuong mai dign tur, tham chi ciing chua ai nghién ciru céng nghé day hira hen ma cae nuéc xung quanh nhu Nhat Ban, Han Quéc, Singapore, Trung Quéc, Thai Lan...da va dang img dung céng nghé nay. Day la nhiém vy rat kho khan vi n6 lién quan dén cac k¥ thuat cao cing nh kién thite todin hoc sau sic. Do d6 ching ta nén chuan bj truée nhu nhan lye, céng nghé va t6 chire thue hién. Trén day 1a mét vai ¥ kién va dé xuat ciia em. Co thé con rit nhiéu van dé em chua di that sau trong khudn khé cia mét khoa Luan tét nghiép Dai hoc. Em kinh mong duge su déng gép ¥ kién, chi bao ciia cdc cdc thay, c6 ciign nhu cac ban dé em cé thé hoain thign hon nia ni dung cia khod lun, Em xin chan thanh erm on. Mét sé van dé dang dugc tiép tue nghién céru phat trién : - Tim hiéu vé duéng cong Elliptic. Cai dit hé chit ky sé trén duéng cong Elliptic ECDSA. - Tich hgp thiét bi lu khoa cing véi chimg chi s6 img dung trong VPN.TAI LIEU THAM KHAO ‘Tai ligu tiéng Viét : 1. Phan Huy Dién, Ha Duy Khodi (2003), Ma hod théng tin co si ton hoc ‘va ing dung, Nha xudt bin Dai hoc Quéc gia Ha NGi. 2. Phan Dinh Digu (2002), Ly thuyét mat ma va an todn théng tin, Dai hoe Quéc gia Ha Noi. 3. Trinh Nhat Tién (2004), Mét sé van dé an toan dir ligu, Ha NGi. ‘Tai ligu tiéng Anh: 4, Adam, C. (1999), Understanding Public Key Infrastructures, New Riders Publishing, Indianapolis, 5. NIST PKI Project Team (2001), ‘Certificate Issuing and Management Components Protection Profile’ M6t sé trang wed : hitp://en. wikipedia org/wiki hutp://www.eryptography.com/ hutp://www.cryptography.org/ Al, y.W hhup://www.openca.orgLOLCAM ON ‘Loi dau tién, em xin chan thinh cam on Tién S¥ HO Van Canh, ngudi thay di cho em nhiing dinh huéng, nhiing ¥ kién quy bau vé cong nghé PKI. Em xin ta long biét on sau sic toi thay c6, ban bé cing khoa dai diu dat, giap dé em tién bé trong sudt 4 ndm hoe, nhing nguéi luén khuyén khich va gitip dé em trong moi hoan canh kh6 khan, Duge hoan thanh trong thoi gian ngiin khod ludn nay chic chin cdn nhidu khiém khuyét. Em xin cim on thay c6, ban bé va ngudi thin da va sé cé nhimg gop ¥ chan tinh cho n6i dung cita khod luan nay, dé em ¢6 thé tip tue di séu tim hiéu va dura PKI vao tng dung trong thye té. Em xin chan thanh cam on! Hai Phong, thing ndm 2010 Sinh vién Nguyén Van Cuong