An toàn hệ thống và an ninh mạng - Chương 4: Căn bản về mật mã

Nội dung text: An toàn hệ thống và an ninh mạng - Chương 4: Căn bản về mật mã

1. Chương 4 CCăănn bbnn vv mmtt mãmã • Khái ni m • Các gi i thu t • ng d ng c a mt mã • H tng khóa công khai (PKI) • Qu n lý khóa và ch ng ch s B môn MMT&TT 10/08/2010 1
2. MMcc tiêutiêu • Cung cấp cho người học một cái nhìn tổng quan về mật mã và ứng dụng của mật mã trong an ninh mạng. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Trình bày được khái niệm về mật mã. ▫ Phân biệt được các giải thuật dùng trong mật mã như giải thuật băm, đối xứng và bất đối xứng. ▫ Trình bày được ứng dụng của mật mã trong an ninh mạng. ▫ Hiểu được khái niệm cơ sở hạ tầng khóa công khai (PKI). ▫ Trình bày được khái niệm chữ ký số, chứng chỉ số và việc quản lý chữ ký điện tử và chứng chỉ số. B môn MMT&TT 10/08/2010 2
3. KhKhááii nini mm vv mmtt mãmã • Mật mã (cryptography) Đu vào là MMtt mãmã làlà 1 1 nghngh thuthu tt làmlàm bibinn đđii Đu vào là dd liliuu gg cc dd liliuu gg cc vàvà sausau đđ óó s s khôikhôi phph cc (plaintext)(plaintext) Đu ra là d llii đđ ss ddngng trongtrong tt ươươ ngng lai.lai. Đu ra là d liliuu đđãã mãmã hóahóa (ciphertext)(ciphertext) KhóaKhóa (d(dưưii nhinhiuu ddngng kháckhác nhau)nhau) luônluôn đưđưcc yêuyêu cc uu MMtt mãmã ss ddngng cáccác gigiii thuthu tt :: •• BămBăm (hashing)(hashing) •• Mã Mã hóahóa đđii xx ngng (symmetric)(symmetric) •• Mã Mã hóahóa bb tt đđii xx ngng (Asymmetric)(Asymmetric) B môn MMT&TT 10/08/2010 3
4. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật băm (hashing) •• BămBăm dd ùngùng đđ ttoo rara “d“duu vânvân tay”tay” (MAC-message(MAC-message authenticationauthentication codecode hayhay messagemessage digestdigest )) cc aa dd liliu.u. •• Giá Giá tr tr nàynày đưđưcc gg ii kèmkèm vv ii dd liliuu đđ nơinơi nhnhnn kiki mm tratra tínhtính toàntoàn vvnn dd lili uu CácCác gigiii thuthu tt bb ăăm:m: •• Message-Digest Message-Digest 55 (MD5)(MD5) •• Secure Secure HashHash AlgorithmAlgorithm 11 (SHA-1)(SHA-1) BBăămm (hashing)(hashing) côngcông dd ngng khôngkhông phph ii làlà mã mã hóahóa (encryption)(encryption) B môn MMT&TT 10/08/2010 4
5. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật băm MD5 •• ĐưĐưcc phátphát minhminh bb ii RonRon RivestRivest ccaa RSARSA Security.Security. •• Mô Mô tt trongtrong RFC-1321RFC-1321 MD5MD5 ththưưngng dùngdùng đđ kikimm tratra phph nn checksumchecksum cc aa nhnh ngng phph nn mm mm chocho phépphép downloaddownload tt InternetInternet nhnh mm đđmm bboo đđóó không không phph ii làlà ph ph nn mm mm gigi mmo.o. •• ĐĐuu rara cc aa MD5MD5 luônluôn làlà 1 1 digestdigest cócó giá giá tr tr 128128 bitsbits hayhay 3232 kýký tt Hex.Hex. •• Không Không thth “d“dchch ngng ưưc“c“ l lii đưđưcc dd liliuu gg cc tt digestdigest cc aa MD5.MD5. B môn MMT&TT 10/08/2010 5
6. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật băm SHA1 •• ĐưĐưcc tt oo rara bb ii chínhchính phph MM (NIST(NIST vàvà NSA). NSA). •• Mô Mô tt trongtrong RFC-3174RFC-3174 •• Kh Kh cc phph cc đđiimm yy uu trongtrong MD5.MD5. SHA-1SHA-1 thôngthông thth ưưngng đưđưcc ss ddngng trongtrong vivicc càicài đđtt IPSec.IPSec. •• ĐĐuu rara cc aa SHASHA luônluôn làlà 1 1 digestdigest cócó giá giá tr tr 160160 bitsbits •B•Boo mm tt hh ơơnn MD5MD5 B môn MMT&TT 10/08/2010 6
7. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật băm HMAC CácCác gigiii thuthu tt bb ăămm cócó điđimm yyuu khikhi gg pp dd ngng tt nn côngcông “K“K đđngng gigia”a” (Man-in-the- (Man-in-the- middle):middle): gigi mmoo dd liliuu vàvà cc digestdigest gg ii kèm.kèm. HMACsHMACs đưđư aa vàovào thêmthêm 11 khóakhóa bíbí m mtt trtr ưưcc khikhi dùngdùng gigiii thuthu tt bb ăăm:m: DataData ++ keykey =>=> DigestDigest •• CơCơ chch dùngdùng thêmthêm khóakhóa bíbí m mtt gg ii làlà “Message “Message AuthenticationAuthentication Codes”Codes” (MAC). (MAC). •• Khóa Khóa bíbí m mtt chch đưđưcc bibitt bb ii ngng ưưii gg ii vàvà ngưngưii nhnh n.n. •• Dùng Dùng HMACHMAC vv ii 22 gigiii thuthu tt bb ăămm chính:chính: oo HMACHMAC ++ MD5MD5 == HMAC-MD5HMAC-MD5 ss ddngng khóakhóa 128128 bitsbits oo HMACHMAC ++ SHA-1SHA-1 == HMAC-SHA-1HMAC-SHA-1 ss ddngng khóakhóa 160160 bitsbits B môn MMT&TT 10/08/2010 7
8. CCáácc gigi ii thuthutt trongtrong mmtt mãmã ThôngThông tintin downloaddownload file:file: KiKimm tratra llii sausau khikhi download:download: (( B môn MMT&TT 10/08/2010 8
9. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa (encryption algorithms) •• Mã Mã hóahóa làlà 1 1 hìnhhình thth cc cc aa mm tt mãmã •• Mã Mã hóahóa tt oo rara ss bíbí m mtt (b(b oo mm t)t) chocho dd liliuu khikhi llưưuu trtr hayhay truytruy nn đđii trêntrên mm ng.ng. CóCó 2 2 dd ngng mãmã hóa:hóa: •• Mã Mã hóahóa ss ddngng nhnh ngng gigiii thuthu tt đđ •• ĐĐii xx ngng ((symmetricsymmetric keykey encryptionencryption ):): bibinn đđii dd liliuu gg cc (plaintext)(plaintext) sangsang dd ngng ss ddngng chungchung 11 khóakhóa chocho mãmã hóahóa vàvà dd liliuu khôngkhông thth hihiuu đưđưcc (ciphertext).(ciphertext). gigiii mã.mã. •• Các Các gigiii thuthu tt mãmã hóahóa dùngdùng khóakhóa (key)(key) •B•Btt đđii xx ngng (A(A symmetricsymmetric keykey đđ mãmã hóahóa vàvà gi giii mã.mã. encryptionencryption )) :: ss ddngng 22 khóakhóa •• Khóa Khóa càngcàng dàidài =>=> bb oo mm tt càngcàng cao.cao. 1 1 khóakhóa chocho mãmã hóahóa 1 1 khóakhóa chocho gigiii mãmã B môn MMT&TT 10/08/2010 9
10. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa đối xứng (Symmetric) CònCòn gg ii làlà “mã “mã hóahóa vv ii khóakhóa bíbí m mtt”” hay hay “mã“mã hóahóa vv ii khóakhóa chiachia ss ”” MMtt ss gigi ii thuthu tt mãmã hóahóa đđii xx ngng :: •• Có Có th th bb cáccác tt nn côngcông “vét“vét cc n”n” đđ •• Data Data EncryptionEncryption StandardStandard (DES)(DES) tìmtìm rara khóa.khóa. •• Triple Triple DataData EncryptionEncryption StandardStandard (3DES)(3DES) •• Có Có t tcc đđ nhanhnhanh vàvà cài cài đđtt đơđơ nn giginn •• Advanced Advanced EncryptionEncryption StandardStandard (AES)(AES) hhơơnn soso vv ii mãmã hóahóa bb tt đđii xx ng.ng. •• International International DataData EncryptionEncryption AlgorithmAlgorithm (IDEA)(IDEA) •• SSL SSL ss ddngng mãmã hóahóa đđii xx ng.ng. •• Twofish Twofish •• Carlisle Carlisle Adams/StaffordAdams/Stafford TavaresTavares (CAST)(CAST) B môn MMT&TT 10/08/2010 10
11. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa DES •• Phát Phát tritrinn tt thuthu tt toántoán LuciferLucifer ccaa HorstHorst FeistelFeistel (IBM).(IBM). •• ĐưĐưcc chuchu nn hóahóa nn ăămm 1976.1976. •• Mã Mã hóahóa tt ngng khkh ii dd liliuu 6464 bits.bits. •• ĐĐ dàidài khóakhóa 6464 bits:bits: 5656 bitsbits chocho •Gi•Giii thuthu tt đưđưcc ss ddngng rr ngng rãirãi vìvì t tcc khóakhóa vàvà 8 8 bitsbits chocho kikimm tratra (parity).(parity). đđ mãmã hóahóa nhanh,nhanh, •D•D liliuu đưđưcc chiachia làmlàm 22 (32(32 bits)bits) xx •• Hi Hinn nay,nay, DESDES đưđưcc xemxem làlà khôngkhông đđ lýlý quaqua 1616 chuchu trìnhtrình (m(m ngng Feistel).Feistel). anan toàntoàn vìvì đđ dàidài khóakhóa ngng nn (56bits)(56bits) •M•Mii hàmhàm FeistelFeistel thth cc thithi ss ss ddngng =>=> chuychuy nn quaqua dùngdùng 3DES3DES 11 khóakhóa concon 4848 bitsbits (tính(tính rara tt khóakhóa chínhchính 5656 bits).bits). B môn MMT&TT 10/08/2010 11
12. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa 3DES ThayThay thth ddnn chocho DESDES vìvì an an toàntoàn hh ơơnn •• Dùng Dùng 33 llnn liênliên titipp thuthu tt toántoán DESDES vv ii 33 khóakhóa kháckhác nhaunhau K1,K1, K2K2 vàvà K3. K3. •• Khóa Khóa ss ddngng == 33 xx 5656 bitsbits == 168168 bitsbits •G•Gnn nhnh ưư khôngkhông thth dòdò tìmtìm đưđưcc khóakhóa bb ngng phph ươươ ngng pháppháp vétvét cc n.n. •• Phiên Phiên bb nn kháckhác làlà 2TDES 2TDES cócó khóa khóa làlà 112 112 bitsbits vìvì s s ddngng khóakhóa K1=K3.K1=K3. •T•Tcc đđ thth cc thithi chch mm nênnên đưđưcc thaythay thth ddnn bb ii thuthu tt toántoán AES.AES. B môn MMT&TT 10/08/2010 12
13. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa AES •• ĐưĐưcc phátphát tritrinn bb ii 22 nhànhà m mtt mãmã ngng ưưii BB JoanJoan DaemenDaemen vàvà Vincent Vincent Rijmen,Rijmen, llyy têntên làlà thu thu tt toántoán Rijndael.Rijndael. •T•Tmm dd chch làlà “Tiêu “Tiêu chuchu nn mãmã hóahóa tiêntiên titin”n” •S•S ddngng thuthu tt toántoán thaythay thth hoánhoán vv •• ĐưĐưcc ss ddngng phph bibinn vìvì d d thth cc hihin,n, •• Kh Kh ii dd liliuu 128128 bits.bits. ttcc đđ caocao vàvà ít ít tt nn bb nhnh •• Khóa Khóa 128128 ,, 192192 hoho cc 256256 bits.bits. •• ĐưĐưcc MM ápáp dd ngng làmlàm tiêutiêu chuchu nn mãmã hóahóa •S•S chuchu trìnhtrình thth cc hihinn làlà 10, 10, 1212 vàovào thángtháng 55 nnăămm 2002.2002. hoho cc 1414 tùytùy theotheo đđ dàidài khóa.khóa. B môn MMT&TT 10/08/2010 13
14. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa bất đối xứng (Asymmetric) CònCòn gg ii làlà “mã “mã hóahóa vv ii khóakhóa côngcông khaikhai ”” MMtt ss gigi ii thuthu tt mãmã hóahóa bb tt đđii xx ngng :: •• Dùng Dùng khóakhóa côngcông khaikhai đđ mãmã hóahóa vàvà •• RSA RSA (Rivest(Rivest ShamirShamir Adleman)Adleman) dùngdùng khóakhóa bíbí m mtt đđ gigiii mãmã lli.i. •• DSA DSA (Digital(Digital SignatureSignature Algorithm)Algorithm) •• Khóa Khóa bíbí m mtt đưđưcc llưưuu gigi ccnn thth n,n, •• DH DH (Diffie-Hellman)(Diffie-Hellman) khóakhóa côngcông khaikhai côngcông bb chocho mm ii ngng ưưi.i. •• ECC ECC (Error(Error CorrectingCorrecting Code)Code) •• Gi Giii thuthu tt thth cc thithi chch m.m. •• El El GamalGamal B môn MMT&TT 10/08/2010 14
15. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa RSA •• ĐưĐưcc phátphát minhminh vàovào nn ăămm 19771977 bb ii Rivest,Rivest, ShamirShamir vàvà Adleman Adleman tt ii MIT.MIT. •• Mã Mã hóahóa dd liliu:u: dùngdùng khóakhóa chungchung (public(public key)key) đđ mãmã hóa,hóa, khóakhóa riêngriêng (private(private key)key) đđ gigiii mã.mã. •T•Too chch kýký ss :: khóakhóa riêngriêng đđ mãmã hóa,hóa, khóakhóa chungchung đđ gigiii mã.mã. •• Khóa Khóa cócó đđ dàidài tt 1024-20481024-2048 bits.bits. • Gi i thu t r t ph c t p, s dng nhi u • Gi i thu t r t ph c t p, s dng nhi u •• RSARSA đưđưcc ss ddngng trongtrong IPSec.IPSec. công th c toán h c. công th c toán h c. •T•Tcc đđ thth cc thithi chch mm hh ơơnn DESDES vàvà •Gn nh ư không có mt ph ươ ng pháp •Gn nh ư không có mt ph ươ ng pháp cáccác gigiii thuthu tt mãmã hóahóa đđii xx ngng khác.khác. nàonào tìmtìm ngng ưưcc llii đưđưcc khóakhóa riêngriêng tt dd liliuu đưđưcc mãmã hóahóa vàvà khóa khóa chung.chung. B môn MMT&TT 10/08/2010 15
16. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa DSA •• ĐưĐưcc tt oo rara bb ii NISTNIST vàovào nn ăămm 1994.1994. •• Là Là chu chu nn cc aa chínhchính phph MM trongtrong vivicc tt oo rara chch kýký điđinn tt •T•Tcc đđ tươngtương đươngđương nhưnhư RSARSA khikhi tt oo rara chch kýký ss •• Ch Ch mm hh ơơnn 10-4010-40 llnn khikhi kikimm tratra chch kýký ss •S•S ddngng SHA-1SHA-1 chocho gigiii thuthu tt bb ăămm •• Khóa Khóa cócó đđ dàidài tt 512512 –– 1024 1024 bitsbits •• Hi Hinn nay,nay, đưđưcc khuykhuy nn cáocáo nênnên dùngdùng 20482048 bitsbits chocho khóa.khóa. B môn MMT&TT 10/08/2010 16
17. CCáácc gigi ii thuthutt trongtrong mmtt mãmã • Giải thuật mã hóa DH (DiffieHellman) Bob Alice •• ĐưĐưcc tt oo rara nn ăămm 19761976 bbii WhitfieldWhitfield DiffieDiffie vàvà MartinMartin Hellman.Hellman. •• DH DH cócó điđimm yy uu vv ii ddngng tt nn côngcông kk đđngng gigia.a. •• DH DH dùngdùng cungcung cc pp cc ơơ chch bboo mm t,t, nhnh ưưngng khôngkhông cungcung cc pp dd chch vv chch ngng thth cc GiGiii thuthu tt DHDH dùngdùng đđ ttoo rara “Khóa“Khóa bíbí m mtt chiachia ss ”” (s (s ddngng chocho mãmã hóahóa đđii xx ng)ng) gigiaa 22 hosthost trêntrên đưđưngng truytruy nn khôngkhông anan toàn.toàn. B môn MMT&TT 10/08/2010 17
18. ngng ddngng ccaa mmtt mãmã • Ứng dụng của mật mã trong an ninh mạng MMtt mãmã cócó th th đưđưcc ss ddngng trongtrong nhinhiuu dd chch vv anan ninhninh cungcung ccpp cáccác khkh năngnăng nhưnhư :: •• Tính Tính bb oo mm tt (confidentiality)(confidentiality) •• Tính Tính toàntoàn vv nn (integrity)(integrity) •• Ch Ch ngng thth cc (authentication)(authentication) •• Tính Tính khôngkhông thth phph nhnh nn (nonrepudiation)(nonrepudiation) B môn MMT&TT 10/08/2010 18
19. ngng ddngng ccaa mmtt mãmã • Trong dịch vụ bảo mật MãMã hóahóa dùngdùng khóakhóa côngcông khaikhai (public(public keykey )) c c aa bênbên nhnh nn •• CơCơ chch đđ bboo vv dd liliuu khkh ii ss truytruy cc pp tráitrái phép.phép. •S•S bboo mm tt đưđưcc thth cc hihinn thôngthông quaqua mãmã hóa.hóa. B môn MMT&TT 10/08/2010 19
20. ngng ddngng ccaa mmtt mãmã • Trong dịch vụ toàn vẹn •• CơCơ chch đđ cócó th th kikimm tratra đưđưcc dd liliuu cócó b b bibinn đđii hayhay không.không. •S•S ddngng gigiii thuthu tt bb ăămm MD5MD5 hayhay SHA-1.SHA-1. B môn MMT&TT 10/08/2010 20
21. ngng ddngng ccaa mmtt mãmã • Trong dịch vụ chứng thực tại các điểm cuối ChCh ngng thth cc s s mãmã hóahóa dùngdùng khóakhóa bíbí m mtt (private(private key)key) c c aa bênbên g g ii •• Ch Ch ngng thth cc đưđưcc thth cc hihinn thôngthông quaqua vivicc chch pp nhnh nn khóakhóa ccaa thuthu tt toántoán DH.DH. •• Có Có 3 3 cáchcách đđchch ngng thth c:c: ++ S S ddngng khóakhóa bíbí m mtt chiachia s s ++ S S ddngng chch kýký s s ++ S S ddngng s s ngng uu nhiênnhiên đưđưcc mãmã hóahóa B môn MMT&TT 10/08/2010 21
22. ngng ddngng ccaa mmtt mãmã • Trong dịch vụ không thể phủ nhận (nonreputation) •• Ch Ch ngng tt rrngng mm tt thth cc thth đãđã llàmàm 11 vivicc gìgì và và đãđã đưđưcc “ký“ký nhnh n”n” vào vào tàitài liliu.u. SauSau này,này, thth cc thth đđ óó không không thth chch ii bb đưđưcc vivicc làmlàm đđó.ó. •• Tính Tính khôngkhông thth phph nhnh nn đưđưcc thth cc hihinn quaqua chch kýký ss •• Ch Ch kýký ss làlà duy duy nhnh t,t, xácxác nhnh nn đđúngúng làlà cá cá nhân nhân hayhay thth cc thth đđ ó.ó. B môn MMT&TT 10/08/2010 22
23. ngng ddngng ccaa mmtt mãmã • Chữ ký số (Digital signature) ChCh kýký ss làlà thông thông tintin đđii kèmkèm theotheo dd liliuu (v(văănn bb n,n, hìnhhình nh,nh, video )video ) nhnh mm mm cc đđíchích xácxác đđnhnh ngng ưưii chch ccaa dd liliuu đđó.ó. ChCh kýký ss hoho tt đđngng bb ngng cáchcách ss Ch ký s là 1 t p con c a ch Ch ký s là 1 t p con c a ch ddngng gigiii thuthu tt bb ăămm vàvà 1 1 trongtrong 22 dd ng:ng: ký đin t (electronic signature). ký đin t (electronic signature). •• Mã Mã hóahóa đđii xx ngng •• Mã Mã hóahóa bb tt đđii xx ng.ng. B môn MMT&TT 10/08/2010 23
24. ngng ddngng ccaa mmtt mãmã • Chữ ký số QuáQuá trình trình ss ddngng chch kýký ss baobao gg mm 22 quáquá trình: trình: tt oo chch kýký vàvà ki kimm tratra chch kýký 1.1. Ng Ng ưưii g g ii t too tàitài liliuu 2.2. B Băămm tàitài liliuu =>=> t too rara DigestDigest 3.3. S Sddngng khóakhóa bíbí m mtt đđmãmã hóahóa s s digestdigest đ đ ó.ó. 4.4. G Gnn s s DigestDigest đưđưcc mãmã hóahóa (ch(ch kýký s s )) vàovào tàitài liliuu 5.5. G Gii quaqua ngng ưưii nhnh nn 1.1. Ng Ng ưưii nhnh nn táchtách tàitài liliuu vàvà ch ch kýký s s rara 2.2. S S ddngng khóakhóa côngcông khaikhai đđgigiii mãmã chch kýký ssthànhthành s s DigestDigest1.1. 3.3. B Băămm tàitài liliuu =>=> t too rara s s Digest2Digest2 4.4. So So sánhsánh 22 s s Digest1Digest1 vàvà Digest2: Digest2: ++ N N uu trùng:trùng: xácxác nhnh nn đđúngúng ngng ưưii g g ii ++ N N uu sai:sai: khôngkhông phph ii B môn MMT&TT 10/08/2010 24
25. B môn MMT&TT 10/08/2010 25
26. B môn MMT&TT 10/08/2010 26
27. ngng ddngng ccaa mmtt mãmã • Chữ ký số ThôngThông tintin cc aa 11 chch kýký ss NgNg ưưii kýký GiGiii thuthu tt bb ăămm GiGiii thuthu tt mãmã hóahóa chch kýký ss ThôngThông tintin cc aa 11 chch ngng chch ss điđi kk èmèm B môn MMT&TT 10/08/2010 27
28. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Khái niệm LàLà cơcơ chch đ đ chocho mm tt bênbên thth 33 (th(thưưngng làlà nhànhà cung cung cc pp chch ngng chch ss CA) CA) cung cung cc pp vàvà ch ch ngng thth cc đđnhnh danhdanh các các bênbên thamtham giagia vàovào quáquá trình trình traotrao đđii thông thông tin.tin. ngng dd ngng cc aa PKI:PKI: •• Open Open PGP:PGP: mãmã hóahóa emailemail vàvà ch ch ngng thth cc ngng ưưii gg ii email.email. TTngng bênbên thamtham giagia ss cungcung cc pp cc pp khóakhóa •• Mã Mã hóahóa vàvà xác xác thth cc vv ăănn bb n.n. côngcông khaikhai vàvà khóa khóa bíbí m mt:t: •• Ch Ch ngng thth cc ngng ưưii dùngdùng ngng dd ng:ng: đăngđăng •• Mã Mã hóahóa:: mãmã hóahóa bb ngng khóakhóa côngcông khaikhai,, nhnh pp bb ngng smartcard,smartcard, trongtrong SSL.SSL. gigiii mãmã bb ngng khóakhóa bíbí m mt.t. •• Trong Trong cáccác giaogiao thth cc truytruy nn thôngthông anan •• Ch Ch kýký điđinn tt :: mãmã hóahóa bb ngng khóakhóa bíbí toàn.toàn. mmtt,, gigiii mãmã bb ngng khóakhóa côngcông khai.khai. B môn MMT&TT 10/08/2010 28
29. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Chứng chỉ số (Digital certificate) ĐĐiiuu 44 c c aa lulu tt giaogiao d d chch đđiinn t t ViVi tt NamNam :: ChCh ngng thth ưư đđiinn t t làlà thôngthông điđipp d d liliuu dodo t t ch c cung c p d ch v ch ng th c ch ký đin t CA:CA: nhànhà cung cung ch c cung c p d ch v ch ng th c ch ký đin t phát hành nh m xác nh n c ơ quan, t ch c, cá ccpp chch ngng chch ss phát hành nh m xác nh n c ơ quan, t ch c, cá nhânnhân đưđưcc chch ngng thth cc làlà ngưngưii kýký chch kýký điđinn t t JeffJeff cócó th th kikimm tratra thôngthông đđiipp vv ii chch ngng chch ss kèmkèm theotheo tt MikeMike làlà h hpp ll nnuu JeffJeff tintin tt ưưngng nhànhà cung cung cc pp chch ngng chch ss B môn MMT&TT 10/08/2010 29
30. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Nhà cung cấp chứng chỉ số (CA) CertificateCertificate Authority:Authority: •• Là Là đđii táctác thth 33 đưđưcc tintin cc yy •• Cung Cung cc pp vàvà ký ký xácxác nhnh nn cáccác chch ngng chch ss •• NgưNgưii dùngdùng đđiinn 11 formform vv ii cáccác thôngthông tin:tin: tên,tên, tt chch c,c, “Chu n m t mã khóakhóa côngcông khai,khai, gigiii thuthu tt dùngdùng đđ ttoo khóakhóa côngcông khai,khai, khóa công khai” •• Mã Mã hóahóa formform đđóó và và g gii chocho nhànhà cung cung cc pp chch ngng chch ss (PKCS#10) •• CA CA nhnh nn form,form, xácxác nhnh nn thôngthông tintin ngng ưưii dùng,dùng, tt oo rara chch ngng chch ss vàvà g gii chch ngng chch ss trtr llii chocho ngng ưưii dùng.dùng. •• Ch Ch ngng chch ss đưđưcc tt oo rara theotheo chuchu nn X.509X.509 versionversion 3.3. B môn MMT&TT 10/08/2010 30
31. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Chứng chỉ số (Digital certificate) B môn MMT&TT 10/08/2010 31
32. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Các mô hình tín nhiệm (trust models) (Leaf CA) Mô hình phân c p đưc s dng nhi u nh t B môn MMT&TT 10/08/2010 32
33. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Sự hủy bỏ (Revocation) ChCh ngng chch ss (( trtr ưưcc khikhi hh tt hh n)n) cócó th th bb hhyy bb khikhi khóakhóa bíbí m mtt bb ll hayhay thôngthông tintin cc aa ngng ưưii chch chch ngng chch ss cócó thaythay đđi.i. Registration Authority •M•Mii chch ngng chch ss đđuu cócó 1 1 ss serialserial number.number. •H•Hyy bb chch ngng chch ss làlà đưađưa ss serialserial numbernumber đđ óó vàovào 11 danhdanh sáchsách CRLCRL (Certificate(Certificate RevocationRevocation List)List) •• Khi Khi chch ngng thth c,c, hosthost ss kikimm tratra danhdanh sáchsách CRL,CRL, nn uu chch ngng chch ss cócó serial serial numbernumber trongtrong danhdanh sáchsách thìthì ng ng tt nn ii kk t.t. B môn MMT&TT 10/08/2010 33
34. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Chính sách cho chứng chỉ số (certificate policy) CACA phph ii đđnhnh nghngh ĩĩaa t t tt cáccác chínhchính sáchsách vàvà cơcơ chch anan ninhninh đđ đđmm bboo d d chch v v màmà h hcungcung c c pp phph ii thth tt s s tintin c c y.y. ChínhChính sáchsách chocho chch ngng chch ss đưđưcc đđnhnh nghngh ĩĩaa trongtrong X.509X.509 vàvà mô mô tt trongtrong RFC-3647RFC-3647 ChínhChính sáchsách chocho chch ngng chch ss làlà t tpp •• Ph Ph ii rõrõ ràng,ràng, súcsúc tích.tích. cáccác quyquy đđnhnh chungchung vv vivicc chch ngng •• Gi Giii hh nn trongtrong 22 trangtrang chch ss đưđưcc ss ddng,ng, ququ nn lýlý vàvà •• Có Có xác xác nhnh nn cc aa lãnhlãnh đđoo cc pp cao.cao. tritrinn khaikhai trongtrong tt chch cc nhnh ưư thth nào.nào. •• Vi Vitt theotheo dd ngng gg chch đđuu dòng.dòng. B môn MMT&TT 10/08/2010 34
35. HH ttngng khkhóóaa côngcông khaikhai (PKI)(PKI) • Chỉ dẫn thực tế cho chứng chỉ số (certificate pratice statements – CPS) CPSCPS thth ưưngng dodo bb phph nn đđiiuu hànhhành (có(có liênliên quanquan đđnn IT)IT) soso nn thth oo vàvà duy duy trì.trì. CóCó tính tính kk thuthu tt hh ơơnn soso vv ii chínhchính sáchsách vv chch ngng chch ss CPS mô t chi ti t vi c th c hi n CPS mô t chi ti t vi c th c hi n •• CP CP trìnhtrình bàybày vv vivicc gìgì (what) (what) chính sách v ch ng ch (CP) chính sách v ch ng ch (CP) •• CPS CPS trìnhtrình bàybày vv cáchcách thth cc hihinn trong ng cnh c a ki n trúc trong ng cnh c a ki n trúc nhnh ưư thth nàonào (how)(how) hh thth ngng vàvà quy quy trìnhtrình hoho tt đđngng cc aa tt chch cc B môn MMT&TT 10/08/2010 35
36. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Khái niệm •• Khóa Khóa làlà 1 1 thànhthành phph nn bênbên trongtrong chch ngng chch ss •• Ch Ch ngng chch ss thth cc thithi vaivai tròtrò vv nn chuychuy nn khóa.khóa. •• Khóa Khóa ss phph ii đưđưcc bb oo ququ nn nhnh ưư khóakhóa cc aa 11 căncăn nhnh à.à. •• TươngTương tt nhưnhư mmtt khkh uu vàvà mã, mã, khóakhóa đưđưcc tt oo ra,ra, phânphân phph i,i, thaythay đđii phph ii tuântuân theotheo cáccác cc ơơ chch bboo mm t.t. •• Khóa Khóa phph ii đưđưcc ququ nn lýlý anan toàntoàn susu tt dòngdòng đđii cc aa nó.nó. CóCó 22 phph ươươ ngng pháppháp thôngthông dd ngng đđ lưulưu trtr vàvà phân phân phph ii khóakhóa là:là: •• Trung Trung tâmtâm phânphân phph ii khóakhóa (Key(Key DistributionDistribution CenterCenter –– KDC) KDC) •• Gi Giii thuthu tt traotrao đđii khóakhóa (Key(Key ExchangeExchange AlgorithmAlgorithm –– KEA) KEA) B môn MMT&TT 10/08/2010 36
37. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Tập trung hay không tập trung •To, qu n lý •T•To,o, ququ nn lýlý •To, qu n lý và phân ph i vàvà phân phân phph ii và phân ph i khóa không t p khóakhóa t tpp trung.trung. khóa không t p trung. •• Doanh Doanh nghinghipp trung. • Verisign s llnn s s ddngng • Verisign s dng mô hình mômô hìnhhình này.này. dng mô hình này.này. ƯƯuu đđiimm:: ƯƯuu đđiimm:: •D•D ququ nn lý,lý, t t oo m m ii vàvà ph ph cc h h ii khóa.khóa. •• NgưNgưii dùngdùng t t ttoo vàvà qu qu nn lýlý khóakhóa bíbí m mt.t. •• Các Các khóakhóa đưđưcc t too rara trongtrong môimôi trtr ưưngng anan toàn.toàn. •• Khóa Khóa đưđưcc useruser t t oo rara nhanhnhanh h h ơơnn vàvà ch ch ccnn g g ii NhNh ưưcc đđiimm:: chocho RARA (Registration(Registration Authority).Authority). RARA s s chuychuy nn lênlên •N•Nuu CACA cócó v vnn đđss nhnh h h ưưngng đđnn hoho tt đđngng chocho CACA t t oo rara chch ngng chch ss ccaa toàntoàn thth cáccác ngng ưưii dùng.dùng. NhNh ưưcc đđiimm:: •S•S lưlưngng ngng ưưii dùngdùng giagia t t ăăngng vàvà chi chiuu dàidài •G•Gpp khókhó khănkhăn khikhi khkh óaóa b b thth tt l lcc hayhay mumu nn khôikhôi khóakhóa t tăăngng =>=> x x lýlý nhinhiuu h h ơơnn =>=> nhnh h h ưưngng đđnn phph cc l lii khóa.khóa. hihiuu n n ăăngng c c aa toàntoàn h h thth ng.ng. •• Có Có th th ssmmtt d d liliuu đđãã mãmã hóahóa khikhi khóakhóa b b •• Hình Hình thànhthành m m cc tiêutiêu chínhchính chocho hackerhacker t t nn công.công. hhngng hayhay b b mmt.t. B môn MMT&TT 10/08/2010 37
38. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Lưu trữ và phân phối khóa •• Khóa Khóa đưđưcc llưưuu trtr ,, ququ nn lýlý vàvà CóCó 2 2 cáchcách llưưuu trtr khóa:khóa: phânphân phph ii bb ii trungtrung tâmtâm phânphân phph ii •B•Bngng phph nn mm mm:: khóakhóa (KDC)(KDC) thôngthông quaqua gigiii thuthu tt ++ MM mm dd oo traotrao đđii khóakhóa (KEA).(KEA). ++ KémKém anan toàntoàn •M•Mtt khikhi cc nn xácxác nhnh nn khóa,khóa, •B•Bngng phph nn cc ngng :: card,card, flashflash diskdisk ClientClient ss ggii 11 yêuyêu cc uu đđnn KDC.KDC. ++ KhôngKhông mm mm dd oo •N•Nuu chch ngng thth cc khôngkhông thànhthành ++ AnAn toàntoàn vàvà tin tin cc yy caocao hh ơơnn công,công, ClientClient ss bb lolo ii bb B môn MMT&TT 10/08/2010 38
39. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Lưu giữ (Escrow) EscrowEscrow làlà nơinơi lưulưu trtr cáccác bbnn saosao cc aa khóakhóa bíbí m mtt trongtrong hh thth ngng ququ nn lýlý khóakhóa tt pp trung.trung. •• NgưNgưii dùngdùng nn uu bb mmtt hayhay làmlàm hh ngng khóa,khóa, cócó th th phph cc hh ii llii khóakhóa bíbí m mtt nàynày tt EscrowEscrow •• NgưNgưii dùngdùng cócó th th lưulưu nhinhiuu bb nn saosao tt ii nhinhiuu côngcông tyty Escrow.Escrow. •• TuyTuy nhiênnhiên ,, ngngưưii ququ nn trtr trongtrong côngcông tyty hayhay hackerhacker cócó th th ttnn côngcông vàovào nn ơơii llưưuu trtr EscrowEscrow đđ óó đđ llyy đưđưcc khóakhóa cc aa ngng ưưii dùng.dùng. B môn MMT&TT 10/08/2010 39
40. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Hết hạn, hủy bỏ và tạm dừng •• Khóa Khóa vàvà ch ch ngng chch ss (gi(gingng nhnh ưư thth tíntín dd ng)ng) đđuu cócó h hnn ss ddngng •• Khi Khi hhtt hh nn ss ddngng ,, khóakhóa vàvà chch ngng chch ss bb hhyy bb •• Khi Khi phátphát hihinn khóakhóa bb ll hayhay mm t,t, • Khi mu n t m th i ng ưng s dng ngng ưưii dùngdùng cócó th th yêuyêu cc uu hhyy bb • Khi mu n t m th i ng ưng s dng khóa hay ch ng ch , ngưi dùng có chch ngng chch ss khóa hay ch ng ch , ngưi dùng có th yêu c u tm d ng . •• CA CA ss đưađưa ss serialserial numbernumber cc aa th yêu c u tm d ng . • Khóa và ch ng ch khi t m d ng có chch ngng chch đđ óó vào vào danhdanh sáchsách đđen.en. • Khóa và ch ng ch khi t m d ng có th đưc khôi ph c l i sau này. •• Danh Danh sáchsách đđenen đđóó g gii làlà CRL CRL vàvà CA CA th đưc khôi ph c l i sau này. phph ii côngcông bb danhdanh sáchsách đđó.ó. B môn MMT&TT 10/08/2010 40
41. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Gia hạn •• TrưTrưcc khikhi khóakhóa hayhay chch ngng chch ss hhtt hh n,n, ngng ưưii dùngdùng cócó th th ggii yêuyêu cc uu đưđưcc giagia hh nn (làm(làm mm i)i) llii khóakhóa vàvà ch ch ngng chch •• Vi Vicc ss ddngng khóakhóa cc ũũ ss vivi phph mm chínhchính sáchsách vv bboo mm tt =>=> ss làlà r rii roro =>=> cc nn thth nn vàvà cân cân nhnh cc khikhi giagia hh n.n. B môn MMT&TT 10/08/2010 41
42. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Tiêu hủy (destruction) KhiKhi cáccác khóakhóa vàvà ch ch ngng chch khôngkhông còncòn ss ddngng nn aa thìthì các các thôngthông tintin vv khóakhóa vàvà ch ch ngng chch phph ii đưđưcc gg bb trongtrong phph nn mmmm hoho cc phph nn cc ngng llưưuu trtr thôngthông tintin nàynày phph ii bb tiêutiêu hh yy đđ tránhtránh kk xxuu llii dd ng.ng. B môn MMT&TT 10/08/2010 42
43. QuQunn lýlý khkhóóaa vvàà chchngng chch ss • Sử dụng khóa KhóaKhóa đưđưcc ss ddngng rr ngng rãirãi trong:trong: •• VPNVPN nhưnhư IPSecIPSec •• Các Các giaogiao thth cc SSLSSL vàvà TSL TSL •• SSL SSL trongtrong HTTPHTTP :: HTTPSHTTPS •• HTTP HTTP bb oo mm t:t: SecureSecure HTTPHTTP (SHTTP)(SHTTP) •• Truy Truy cc pp tt xaxa anan toàn:toàn: SSHSSH •B•Boo mm tt Email:Email: PGP,PGP, S/MIMES/MIME ChiChi nn ll ưưcc ss ddngng khóa:khóa: •• Ph Ph ii xácxác đđnhnh khóakhóa đưđưcc ss ddngng nhnh ưư thth nào?nào? •S•S ddngng khóakhóa đđii xx ngng hayhay bb tt đđii xx ngng ?? •S•S ddngng 11 khóakhóa hayhay cc nn thêmthêm nhinhiuu khóakhóa khác?khác? •• Ngoài Ngoài khóa,khóa, cócó c cnn thêmthêm cáccác mm cc bb oo mm tt khác?khác? B môn MMT&TT 10/08/2010 43