ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Quang Thuận NGHIÊN CỨU VÀ XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Cơng nghệ thơng tin HÀ NỘI - 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Quang Thuận NGHIÊN CỨU VÀ XÂY DỰNG HẠ TẦNG KHĨA CƠNG KHAI KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Cơng nghệ thông tin Cán hướng dẫn: PGS – TS.Hồ Sỹ Đàm Cán đồng hướng dẫn: TS.Lê Đức Phong HÀ NỘI - 2010 LỜI CẢM ƠN Tôi xin gửi lời cảm ơn chân thành tới PGS.TS Hồ Sĩ Đàm, TS Lê Đức Phong Những người thầy cho định hướng ý kiến quý báu để tơi hồn thành khóa luận tốt nghiệp Tơi xin tỏ lịng biết ơn sâu sắc tới thầy cơ, bạn bè dìu dắt, giúp đỡ tơi tiến suốt q trình làm khóa luận tốt nghiệp Xin cảm ơn gia đình bè bạn, người ln khuyến khích giúp đỡ tơi hồn cảnh khó khăn Tơi xin cảm ơn mơn Truyền Thơng Mạng Máy Tính, khoa Cơng Nghệ Thơng Tin trường Đại Học Công Nghệ-Đại Học Quốc Gia Hà Nội tạo điều kiện cho q trình học, làm hồn thành khóa luận M ỤC L ỤC Mở Đầu Chương : Giới Thiệu .2 1.1 Tìm hiểu Mật mã học khố cơng khai 1.1.1.Mật mã học khố cơng khai .2 1.1.2.Ứng dụng 1.2 Thuật toán độ phức tạp thuật toán .4 1.2.1.Thuật toán 1.2.2.Phân tích thuật tốn 1.3 Hạ tầng khóa cơng khai (PKI) .5 1.3.1.PKI 1.3.2.Cở sở hạ tầng khóa cơng khai 1.4 Một vài kiến trúc công nghệ PKI hành .7 1.4.1.Một số ứng dụng 1.5 Mục đích đề tài .8 1.6 Đặt vần đề ? 1.7 Các vấn đề giải khóa luận Chương : Xây dựng hạ tầng khóa cơng khai(PKI), vấn đề cấp phát chứng thực số ứng dụng thương mại điện tử 11 2.1 Hàm băm mật mã học 11 2.1.1.Hàm băm 11 2.1.2.Hàm băm mật mã học 11 2.1.3.Đảm bảo tính tồn vẹn liệu .11 2.1.4.Một số hàm băm thông dụng 12 2.2 Mã hóa thơng tin 14 2.3 Chữ ký số 15 2.3.1.Chữ ký số .15 2.3.2.Tạo kiểm tra chữ ký số 16 2.4 Chứng thực số .22 2.5 Cấu trúc phân tầng hệ thống PKI 22 2.6 Cấp phát xác thực chứng thực số 23 2.6.1.Cấp phát chứng thực số 23 2.6.2.Xác thực chứng thực số 25 2.7 Ứng dụng hạ tầng khóa cơng khai cấp phát chứng thực 25 2.7.1.Mã hóa 25 2.7.2.Chống giả mạo .25 2.7.3.Xác thực 26 2.7.4.Chống chối bỏ nguồn gốc 26 2.7.5.Chữ ký điện tử .26 2.7.6.Bảo mật website .27 2.7.7.Đảm bảo phần mềm .27 2.8 OpenCA hệ thống hạ tầng khóa cơng khai thực tế .27 2.8.1.Định nghĩa : 27 2.8.2.Đánh giá hệ OpenCA 28 Chương 3: Đặc tả Platform PKI 29 3.1 Ngôn ngữ lập trình 29 3.2 Thư viện số nguyên lớn .29 3.3 Một Platform PKI phải cung cấp đầy đủ chức sau: .29 3.3.1.Cấp phát 29 3.3.2.Chứng thực 39 3.3.3.Toàn vẹn liệu .39 3.3.4.Thu hồi cấp phát lại chứng thực số 41 KẾT LUẬN 44 CÁC TÀI LIỆU THAM KHẢO .45 TÓM TẮT KHÓA LUẬN Khóa luận “Hạ tầng khóa cơng khai (PKI), vấn đề cấp phát chứng thực số ứng dụng thương mại điện tử” Hạ tầng khóa cơng khai khung để xây dựng mơ hình an ninh, bảo mật thương mại điện tử Tìm hiểu vai trị chứng thực số hạ tầng khóa cơng khai Vai trị chứng thực số giao dịch trực tuyến Người sử dụng, ngồi hình thức bảo mật thông thường mật khẩu, phải dùng chứng thực số cá nhân để khẳng định danh tính mình, xác nhận hoạt động giao dịch với dịch vụ ngân hàng, thương mại điện tử, dao dịch chứng khoán Chứng thực số giúp nhà quản lý đảm bảo khách hàng chối cãi giao dịch mình, họ dùng chứng thực số Từ đặt vấn đề quản lý (cấp phát,xác thực) thu hồi cấp phát lại chứng thực số Trong khóa luận tơi trình bày vấn đề xoay quanh vấn đề hạ tầng khóa cơng khai (PKI) Phần đầu khóa luận (chương 1) giới thiệu vấn đề cách tiếp cận giải vấn đề trình bày khái quát vài khái niệm mật mã học khóa cơng khai, hạ tầng khóa cơng khai ; khái niệm thuật toán lý thuyết độ phức tạp; vài công cụ tảng mật mã học khóa cơng khai (mã hóa thơng tin, hàm băm, chữ ký số) Chương khóa luận làm rõ khái niệm, vấn đề bên hạ tầng khóa cơng khai (chứng thực số, dịch vụ đăng ký, cấp phát, xác thực, thu hồi, … khóa cơng khai); ứng dụng hạ tầng khóa cơng khai giao dịch điện tử ngày ; vài hệ thống hạ tầng khóa cơng khai thực tế Chương đặc tả hạ tầng khóa cơng khai đơn giản Kết Luận DANH MỤC TỪ VIẾT TẮT PKI Public Key Infrastructure CA Certificate Authority RSA Rivest Shamir Adleman DSA Digital Signature Algorithm MD5 Message Digest RA Registration Authority SHA Secure Hash Algorithm SHS Secure Hash Standard H Hash function RFC Request For Comments DANH MỤC HÌNH VẼ VÀ BẢNG Hình 1.1: Cấp phát khóa riêng khóa cơng khai Hình 1.2: Mã hóa thơng tin Hình 1.3: Tạo xác thực chữ ký số Hình 1.4 : Mơ hình xây dựng PKI Bảng 1.5 : mơ hình xử dụng xác thực Hình 2.1 : Đặc điểm thuật toán băm SHA Bảng 2.2 :So sánh thời gian tạo khóa, tạo chữ ký xác nhận chữ ký RSA với DSA Hình 2.3 : Thời gian xác nhận chữ ký RSA DSA Hình 2.4 : Thời gian tạo chữ ký RSA DSA Hình 2.5 : Thời gian xác nhận chữ ký RSA DSA Hình 2.6 : Mơ hình phân cấp Hình 3.1 : Hàm tạo cặp khóa riêng khóa cơng khai Hình 3.2 : Mơ tạo khóa Hình 3.3 : Tạo chữ ký số Hình 3.4 : Form nhập thơng tin client Hình 3.5 : Thông báo trả kết gửi thông tin thành cơng Hình 3.6 : Xác thực khóa cơng khai chữ ký số Hình 3.7 : cấp phát chứng thực số Hình 3.8 : Kiểm tra thơng tin cấp phát chứng thực số Hình 3.9 : Xác thực chứng thực số Hình 3.10 : Form tìm kiếm, sửa, xóa thơng tin chứng thực số Hình 3.11 : Kiểm tra thu hồi chứng thực số hết hạn sử dụng Mở Đầu Trong kỷ nguyên công nghệ thơng tin, tính phổ biến rộng rãi Internet mặt đem lại nhiều ứng dụng tiện lợi, thú vị dần thay hoạt động truyền thống giớ thực; mặt khác đặt vấn đề an tồn, tính tin cậy giao dịch Internet Cơ sở hạ tầng khóa cơng khai (PKI) đáp ứng, giải vấn đề cho yêu cầu Dựa dịch vụ chứng thực số chữ ký số, PKI khung sách, dịch vụ phần mềm mã hóa, đáp ứng nhu cầu bảo mật người sử dụng Không nằm lĩnh vực thương mại điện tử, chứng thực số sử dụng dạng chứng minh thư cá nhân Tại nước cơng nghệ phát triển, chứng thực số CA tích hợp vào chip nhớ nằm thẻ cước, thẻ tín dụng để tăng cường khả bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính nhiều hệ thống khác nhau, chẳng hạn xe bus, thẻ rút tiền ATM, kiểm soát hải quan, vào chung cư v.v Với đặc điểm bật giả mạo, chứng thực nguồn gốc xuất xứ, quốc gia phát triển sử dụng chứng thực số chứng pháp lý từ sớm Đây yếu tố quan trọng để phát triển thương mại điện tử, khơng dám mạo hiểm với tiền mình, họ chưa chắn hoạt động có đảm bảo, có pháp luật cơng nhận hay khơng Trong khóa luận tốt nghiệp này, tác giả xin trình bày tổng quát sở hạ tầng khóa cơng khai ứng dụng thương mại điện tử Qua trình bày platform mô hoạt động hạ tầng khóa cơng khai (PKI)  Tạo chữ ký số : S = H(m)^d mod n Tin nhắn nhập vào băm theo hàm băm mặc định cho trước Hình 3.3 : Tạo chữ ký số  Form nhập thơng tin đăng ký : 30 Hình 3.4 : Form nhập thông tin client  Các thông tin mà client nhập gửi lên server  Tại client: 31  Tại server: 32 Hình 3.5 : Thông báo trả kết gửi thông tin thành công  Tại server nhận thông tin gửi từ client Nếu việc thẩm tra chữ ký số thành cơng Việc đăng ký chứng thực số hồn tất(Tại server thông báo Successful) Nếu việc thẩm tra thất bại tương ứng với việc chữ ký số 33 khóa cơng khai gửi lên khơng đắn hay tương thích(Server báo Failed) Ngoài việc tồn user với địa thơng báo khóa cơng khai tồn chứng thực số(Server nhận biết được, server không cấp phát chứng thực số khác Mà đưa thơng báo cho user đó)  S e mod n = H(m) Hình 3.6 : Xác thực khóa cơng khai chữ ký số 34 Hình 3.7 : cấp phát chứng thực số 35 Hình 3.8 : Kiểm tra thông tin cấp phát chứng thực số Việc kiểm tra server hoàn tất, chứng thực số tạo lưu server 3.3.2 Chứng thực - Bên cạnh việc cấp phát PKI cịn có vai trị xác thực chứng thực số 36 Hình 3.9 : Xác thực chứng thực số - Một client khác người thứ gửi ID chứng thực số client để biết client có tồn hay khơng Bằng cách kích vào Menu CheckUser Thơng tin server trả Ok(nếu tồn client), failed user was expired(nếu client hết hạn), failed(nếu khơng tồn user 3.3.3 Tồn vẹn liệu - Client gửi tin nhắn đến server để đăng ký chứng thực số Nếu tin nhắn bị thay đổi đồng nghĩa với việc gia trị băm(H(m)) bị thay đổi Do trường hợp thẩm tra chữ ký số đắn tương ứng với giá trị băm H(m) tin nhắn gửi tin nhắn nhận server trùng Như thông tin mà client gửi lên server hồn tồn khơng bị thay đổi.Ngồi chức Platform PKI bao gồm chức như: Kiểm tra client hết hạn sử dụng chức thực số, tìm kiếm,xóa, sửa chứng thực số 37 Hình 3.10 : Form tìm kiếm, sửa, xóa thơng tin chứng thực số 3.3.4 Thu hồi cấp phát lại chứng thực số 38 3.3.4.1 Thu hồi - Mỗi chứng thực số gán thời gian bắt đầu cấp phát Server kiểm tra so sánh khoảng thời gian cấp phát chứng thực số đến thời gian Nếu thời gian hết hạn chứng thực số bị thu hồi lưu lại vào bảng sở liệu chứa “Chứng thực số hệt quyền hạn sử dụng” 39 Hình 3.11 : Kiểm tra thu hồi chứng thực số hết hạn sử dụng 3.3.4.2 Cấp phát lại 40 - Server nhận thấy chứng thức số bị lộ, client cảm nhận thấy khóa bí mật thơng tin quan trọng khác bị rị rỉ Client gửi thông báo đến server yêu cầu đăng ký chứng thực số khác Về phía server, Khi phát thấy chứng thực số bị lộ rị rỉ thơng tin gửi u cầu đến client yêu cầu client đăng ký chứng thực số khác KẾT LUẬN Đề tài “Hạ tầng khóa cơng khai (PKI), vấn đề cấp phát chứng thực số ứng dụng thương mại điện tử” đề tài khó rộng Trong thời gian nghiên cứu, tìm hiểu, xây dựng ứng dụng đố án hoàn thành nhiệm vụ đặt ra, cụ thể là: - Về mặt lý thuyết : Khóa luận trình bày khái niệm, đặc điểm hệ thống PKI Ứng dụng hạ tầng khóa cơng khai thương mại điện 41 tự Tư tưởng thuật toán cấp phát khóa, sinh kiểm tra chữ ký số(RSA,DSA, ) ưu nhược điểm thuật toán, định nghĩa hàm băm(hàm băm MD5,SHA-1) Cấp phát xác thực chứng thực số - Về mô kết thử nghiệm : Đã hồn thành việc mơ hoạt động hệ thống PKI Mặc dù cố gắng trình độ chuyên mơn thời gian thực khóa luận cịn hạn hẹp, mức độ phức tạp đề tài, nên kết đạt gặp phải số khiếm khuyết Hướng phát triển đề tài: Tiếp tục hoàn thiện chức năng, nhằm tăng hiệu độ an toàn Cải thiện việc gửi liệu từ client xử lý server để thời gian hoạt động hệ thống nhanh hiệu hệ thơng tốt CÁC TÀI LIỆU THAM KHẢO [1] William Stallings Cryptography and Network Security : Principles and Practice, Fourth Edition Prentice Hall, 2005 TS.Nguyễn Đại Thọ Bộ mơn Mạng & Truyền thơng Máy tính Khoa Cơng nghệ Thơng tin Slide giảng AN TỒN MẠNG - (Chương – trang 96) 42 http://vi.wikipedia.org/wiki/M%E1%BA%ADt_m%C3%A3_h%C3%B3a_kh %C3%B3a_c%C3%B4ng_khai [2], [3] Đinh Mạnh Tường – Giáo trình “Cấu trúc liệu giải thuật” (Chương trang 12-16) [4] TS.Nguyễn Đại Thọ Bộ môn Mạng & Truyền thông Máy tính Khoa Cơng nghệ Thơng tin Slide giảng AN TOÀN MẠNG - (Chương – trang 116) http://vi.wikipedia.org/wiki/H%C3%A0m_b%C4%83m_m%E1%BA%ADt_m %C3%A3_h%E1%BB%8Dc [5],[8] Đặng Bình Phương Luận văn cao học – Đại học khoa học tự nhiên TP.Hồ Chí Minh - Nghiên cứu kiến trúc xây dựng hệ thống chứng thực tập trung.(trang 8-11) [6] http://ptic.com.vn/chuyende_chitiet.asp?stuff_id=7 [7] Chứng thực điện tử&Chữ ký điện tử(HÀ NỘI –IT Week 2004) – VASC CA [9] Carlisle Adams, Steve Lloyd Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition November 06, 2002 (Chương Certificates and Certification) [10],[11] ĐỒ ÁN TỐT NGHIỆP Trần Hoàn Vũ hệ Kỹ Sư Chất Lượng Cao – K49 môn Truyền Thơng Mạng Máy Tính, khoa Cơng Nghệ Thơng Tin trường Đại Học Bách Khoa Hà Nội http://www.openca.org http://thaitoannguyen.blogspot.com/2013/01/cai-at-openca-kien-truc-singlecatren.html#more http://luanvan.co/luan-van/luan-van-an-toan-thong-tin-trong-thue-dien-tu-39349/ http://thaitoannguyen.blogspot.com/2013/01/chapter-5-openca.html http://luanvan.co/luan-van/nghien-cuu-xay-dung-he-thong-pki-dua-tren-bo-phanmem-ma-nguon-mo-openca-34426/ http://doc.edu.vn/tai-lieu/de-tai-nghien-cuu-xay-dung-ha-tang-khoa-cong-khai-pkidua-tren-openca-51382/ 43 http://tai-lieu.com/tai-lieu/nghien-cuu-xay-dung-ha-tang-khoa-cong-khai-pki-duatren-openca-3213/ 44 ... GIA HÀ NỘI TRƯ? ?NG ĐẠI HỌC C? ?NG NGHỆ Trần Quang Thuận NGHIÊN CỨU VÀ XÂY D? ?NG HẠ T? ?NG KHĨA C? ?NG KHAI KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ng? ?nh : C? ?ng nghệ th? ?ng tin Cán hư? ?ng dẫn: PGS – TS.Hồ... m? ?ng) ch? ?ng số mà ng? ?ời nhận có ch? ?ng kh? ?ng định ng? ?ời gửi tác giả th? ?ng tin Trong trư? ?ng hợp chối bỏ, CA cung cấp ch? ?ng số cho hai bên chịu trách nhiệm xác minh nguồn gốc th? ?ng tin, ch? ?ng tỏ nguồn... đắn đ? ?ng nghĩa với việc th? ?ng tin Alice gửi bob đắn 1.1.2 ? ?ng d? ?ng - ? ?ng d? ?ng rõ r? ?ng mật mã hóa khóa c? ?ng khai lĩnh vực bảo mật, an tồn th? ?ng tin: Một văn mã hóa khóa c? ?ng khai ng? ?ời sử d? ?ng giải