Chủ đề 8:

Chứng nhận khóa công &

Tổ chức chứng nhận khóa công
(Digital Certificate &Certificate Authority)

ThS. Trần Minh Triết

Nội dung

Mở đầu
Chữ ký điện tử
Chứng nhận số
Certificate Authority (CA)
Mô hình PKI
Ứng dụng…
Demo1

Văn phòng B cần thực hiện giao dịch hàng

Khách rút tiền với
phải Ngân hàng A
đến
?
tận nơi để giao dịch.
$ 5,000,000
OK !
Người gửi: VănGửi bằng
phòng B email
Người nhận: Ngân hàng A Người gửi: Văn phòng B

?
Ngày gửi: 1 / 8 / 2003 Người nhận: Ngân hàng A

Nội dung: Ngày gửi: 1 / 8 / 2003

…….. Nội dung:

Rút $5,000,000 ……..

Mã tài khoản: NHB-212551245 Rút $5,000,000

… .... Mã tài khoản: NHB-212551245

Văn phòng B Ngân hàng A
… .... Gửi
Nhắc lại về Chữ ký điện tử

Tạo chữ ký
Dữ liệu Dữ liệu

Hash MessageHash Sign Signature

Khoá bí mật
Nhắc lại về Chữ ký điện tử

Kiểm tra chữ ký

Dữ liệu

Hash

Signature Verify
?

Khoá công cộng

Demo2

Giải mã & kiểm tra chữ ký

Ok! Chấp nhận

yêu cầu & gửi
$ 5,000,000tiền

email Mã hóa & Ký

Người gửi: Văn phòng B Người gửi: Văn phòng B
Người nhận: Ngân hàng A Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003 Ngày gửi: 1 / 8 / 2003
Nội dung: Nội dung:
…….. ……..
Rút $5,000,000 Rút $5,000,000
Mã tài khoản: NHB-212551245 Mã tài khoản: NHB-212551245
… .... … ....
Demo3

Dữ liệu bị tấn công trên đường truyền.

MIM (Man in Middle)
?

……..
Rút
Chuyển
$5,000,000
khoản $5,000,000
Mã
qua tài
tài khoản:
khoản NHB-8888888
NHB-212551245
Mã tài khoản: NHB-212551245
… ....
… ....
Digital Certificate

Chứng nhận điện tử là chứng thực sự sở hữu khóa

công khai
Nội dung chứng nhận
Thông tin người sở hữu
khóa công khai
Khóa công cộng
Chữ ký của tổ chức
thứ ba đáng tin cậy

Chứng nhận điện tử giải quyết được vấn đề MIM

Tạo chứng nhận

Fran’s X509
Subject Name
certificate
Public Key
Subject Name
(Other fields)
Public Key
(Other fields)

Signature

Hash
algorithm
Encryption

Hash digest Signature

CA’s
Private key
Kiểm tra chứng nhận
Fran’s X509 CA’s X509
certificate certificate

Subject Name Subject Name

Public Key Public Key
(Other fields) (Other fields)

Signature Signature

CA’s public
Signature key

Decryption
Fran’s Hash digest
Cert Info Hash
Subject Name algorithm =?
Public Key
Hash digest
(Other fields)
Chuẩn X.509 (ver. 3.0)

Version: Chỉ định phiên bản của chứng

nhận X.509. Version

Serial Number: Số loạt phát hành được gán Serial Number

bởi CA. Mỗi CA nên gán một mã số loạt Signature Algorithm
duy nhất cho mỗi giấy chứng nhận mà nó Issuer Name
phát hành.
Validity Period
Signature Algorithm: Thuật toán chữ ký
chỉ rõ thuật toán mã hóa được CA sử dụng Subject Name
để ký giấy chứng nhận. Trong chứng nhận Public Key
X.509 thường là sự kết hợp giữa thuật toán
băm (chẳng hạn như MD5) và thuật toán Issuer Unique ID
khóa công cộng (chẳng hạn như RSA). Subject Unique ID
Extensions

Signature
Chuẩn X.509 (ver. 3.0)

Issuer Name:
Tên tổ chức CA phát hành giấy chứng Version
nhận Serial Number
Tên phân biệt theo chuẩn X.500 (X.500 Signature Algorithm
Distinguised Name – X.500 DN).
Hai CA không được sử dụng cùng một Issuer Name
tên phát hành. Validity Period
Validity Period: gồm hai giá trị chỉ định Subject Name
khoảng thời gian mà giấy chứng nhận có
hiệu lực: not-before và not-after. Public Key
Not-before: thời gian chứng nhận bắt Issuer Unique ID
đầu có hiệu lực
Subject Unique ID
Not-after: thời gian chứng nhận hết hiệu
lực. Extensions
Các giá trị thời gian này được đo theo Signature
chuẩn thời gian Quốc tế, chính xác đến
từng giây.
Chuẩn X.509 (ver. 3.0)

Issuer Unique ID&Subject Unique ID: Version

sử dụng từ X.509 phiên bản 2, Serial Number
dùng để xác định hai tổ chức CA hoặc Signature Algorithm
hai chủ thể khi chúng có cùng DN. Issuer Name
RFC 2459 đề nghị không nên sử dụng Validity Period
hai trường này.
Subject Name
Extensions: Public Key
Chứa các thông tin bổ sung cần thiết mà Issuer Unique ID
người thao tác CA muốn đặt vào chứng Subject Unique ID
nhận.
Extensions
Được đưa ra trong X.509 phiên bản 3.
Signature
Chuẩn X.509 (ver. 3.0)

Signature: Version
chữ ký điện tử được tổ chức CA áp Serial Number
dụng.
Signature Algorithm
Tổ chức CA sử dụng khóa bí mật có Issuer Name
kiểu quy định trong trường thuật toán
Validity Period
chữ ký.
Subject Name
Chữ ký bao gồm tất cả các phần khác
trong giấy chứng nhận. Public Key
Issuer Unique ID
 CA chứng nhận cho tất cả các thông tin
khác trong giấy chứng nhận chứ không Subject Unique ID
chỉ cho tên chủ thể và khóa công cộng. Extensions

Signature
Certificate Authority System

Một tổ chức thứ ba đáng tin cậy

Quản lý chữ ký điện tử
Quản lý chứng nhận số CA

Cấp phát Tìm kiếm

chứng nhận chứng nhận

Tạo mới Kiểm tra

chứng nhận chứng nhận

Hủy
chứng nhận
Certificate Authority System CA(S)

Mô hình phân cấp

Mô hình tập trung CA trung öông

CA chi nhaù
nh CA chi nhaù
nh

CA CA CA CA

Web of Trust Ngöôø

i söûduïng
Certificate Authority System CA(S)
Initialize CA
Khởi tạo CA root
Khởi tạo CA
Khởi tạo CA con

Create Cert

Thông tin người dùng

Client Yêu cầu
chứng nhận
Cặp khoá
Server

Chứng nhận
Certificate Authority System – CA(S)
Revoke Cert

Version
Chứng nhận Khóa bí mật
Signature Algorithm
Issuer Name
This Update
Client
Next Update
Revoked Certificates
Chứng nhận Chữ ký Serial Number
Revocation Date
Server CRL Entry Extensions

CRL Extensions
Hủy chứng nhận & Cập nhật CRL
Signature

Phiên bản 2 theo chuẩn của CRL

Certificate Authority System – CA(S)
Update Cert
Chứng nhận
Chứng nhận
Client Server Chứng nhận được
Thông tin cập nhật Chữ ký
tạo mới
Khoá bí mật
Thông tin mới

Search Cert
Client Server
Danh sách chứng nhận
Thông tin tìm kiếm
tìm thấy

Tạo chứng nhận cần

Import chứng nhận
import
Certificate Authority System – CA(S)
Verify Cert

Root

Client yêu
CA1 CA2 cầu kiểm
tra Cert5

Cert5 Cert1 Cert2

Tìm thấy Cert5.
Kiểm tra thành công

Kiểm tra chứng nhận theo mô hình CA phân cấp

Public-key Infrastructure
Certificate Request
Revocation Request

Certificate
Registration Authority
End Entity

Certificate Request
Certificate Revocation Request

Certificate CRL

Repository Certification Authority

Moâhình PKI cô baû

n
Mô hình quản lý khóa

KeyDB

Save keys
Upload keys
Get keys

Delete keys

Retrieve Keys
Update keys
Client Delete keys

Update keys
(Add cert, pic, userID, revoker; update trust…)
Server

Key management model

Mô hình quản lý chứng nhận

Certificate
sDB
Certificate
Add Certificate
Certificate Request Get certificates

Revoke certificates
Search Certificates
Retrieve Certificates Delete certificates
Add revoked certificates
Update certificates
Revoke certificates
Client Delete certificates

Update certificates

CRL request CRL DB

CAServer
Get CRL
CRL broadcast Verify certificate ...

Verify certificate Certificate management

model
Mô hình chứng thực trong CA phân cấp

Publish certificate
Publish certificate
Verify certificate
Verify certificateServer A

Certificate request
Certificate request

Server B Server C

Verify certificate Client

Certificate verification
model
Demo4

Giải mã
& Chứng nhận
hợp lệ
Xác Tài
nhậnliệu
chữ ký
Thông tin & còn giáPublic
trị
key
Ok!Đáng
Tin tưởng
tin & ?
chấp
cậy
Tổ chức chứng nhận (CA)
nhận đề nghị.

Tạo chứng nhận

Xác thực chứng nhận

Chứng nhận
Yêu cầu cấp
Ký X.509
chứng nhận theo
&
Chuẩn X.509
MãPrivate
hóa Tài Public
liệu Thông tin
key key
 Demo5

Xin
Giaocấp
dịch
chứng
với nhận
Ngân hàng

Yêu cầu chứng thực

Chứng
Chấp nhậnnhận
giao dịch Chứng nhận xác thực
xác thực.
thực ?OK!
Chứng nhận không tồn tại
 Demo6

Hủy
Chứng nhận đã bị HỦY
Khóa bí mật bị
vào 1/8/2003 3:10:22
BẺ ! CA Cần chứng thực giao dịch
? Xác thực giấy chứng nhận
Hủy chứng chứng
nhận nhận

Private
key

ChYứng nh
êu cầuậH
nđỦãYbịcH
hứỦ
ngYnnhgậàny 1/8/2003
3:10:22