pki-tc6-tiengviet
DESCRIPTION
PKI-TC6-tiengvietTRANSCRIPT
Hạ tầng cơ sở khóa công khai
Public Key Infrastructure (X509 PKI)
Những nội dung chính
●Vấn đề cơ bản về bảo mật và tin cậy.
●Cơ sở: Mật mã, chữ ký số, chứng chỉ số
●(X509) Hạ tầng cơ sở khóa công khai (PKI)
●(X509) PKI: Các vấn đề về tin cậy và pháp lý.
Các vấn đề về bảo mật
và tin cậy trong thế
giới số
Vấn đề cơ bản
Intranet
Extranet
Internet
Alice
Bob
Bob và Alice muốn trao đổi dữ liệu trong thế giới số
Sẽ gặp phải những vấn đề về bảo mật, tin cậy…
Các vấn đề về bảo mật
và tin cậy●Định danh cá nhân hoặc ứng dụng
Xác thực
●Tính riêng tư
Bảo mật
●Đảm bảo thông tin không bị sửa đổi
Tính toàn vẹn
●Chống chối bỏ
Intranet
Extranet
InternetAlice
Bob
Mật mã
Mật mã
Hệ mật
Đó là hệ thống cung cấp các kỹ thuật để mã hóa và giải mã dữ liệu.
Bản
rõ
Mã
hóa
Giải
mã
Bản
rõ
Bản
mãKe
y
Ke
y
Hello
World
&$*£(“!273 Hello
World
Các thuật toán mãTất cả các thuật toán mã đều dựa trên ba loại thuật toán sau:●Tóm lược thông báo (MD2-4-5, SHA,
SHA-1, …)
●Mật mã khóa bí mật (Blowfish, DES, IDEA, RC2-4-5, Triple-
DES, …)
●Mật mã khóa công khai (DSA,
RSA, …)
Chuyển thông báo rõ có độ dài không xác định thành thông báo mã có độ dài cố định.
Không sử dụng khóa mã và việc xác định thống báo rõ khi biết tóm lược là không thể
Sử dụng cùng một khóa cho mã hóa và giải mã thông báo
Khóa để mã hóa và giải mã khác nhau: Cặp khóa công khai, khóa riêng.
●Thuật toán nhanh và hiệu quả
●Mô hình đơn giản
Cung cấp tính toàn vẹn và bí mậtĐiểm yếu
●Một khóa bí mật phải được chia sẻ bởi tất cả các thành phần tham gia trao đổi dữ liệu
●Rủi ro cao.
Bản
rõ
Mã
hóa
Giải
mã
Bản
rõ
Bản
mãKhóa bí
mật
Khóa bí
mậtĐiểm mạnh
Các thuật toán mật mã dựa trên khóa
bí mật
Bản
rõ
Mã
hóa
Giải
mã
Bản
rõ
Bản
mãKhóa công khai của
Alice
Khóa riêng của
Alice
Intranet
Extranet
InternetAlice
Bob
●Khóa riêng chỉ có người chủ biết: ít rủi ro
●Thuật toán đảm bảo tính toàn vẹn và tính bí mật bằng mã hóa bằng khóa công khai của người nhận.
Điểm mạnh
Các thuật toán mã dựa trên mật mã
khóa công khai
Bản
rõ
Mã
hóa
Giải
mã
Bản
rõ
Bản
mãKhóa riêng của
Bob
Khóa công khai của
Bob
Intranet
Extranet
InternetAlice
Bob
●Thuật toàn đảm bảo chống chối bỏ bằng mã hóa với khóa riêng của người gửi.
Điểm mạnh
Các thuật toán mã dựa trên mật mã
khóa công khai
Các thuật toán mã dựa trên mật mã
khóa công khai Điểm yếu●Chậm hơn từ 100 – 1000 lần so với các thuật toán mã đối xứng.
Do vậy thường được sử dụng để sinh khóa phiên
●Công bố khóa công khai?
●Xác thực cặp khóa
Không thể chắc chắn rằng chủ của cặp khóa là “Alice”?
Intranet
Extranet
InternetAlice
Bob
Moving towards PKI …
Chữ ký số
Chữ ký sốChữ ký số là item dữ liệu đảm bảo nguồn gốc và tính toàn vẹn của thông báo.
●Người tạo thông báo sử dụng khóa riêng để ký lên thông báo và gửi thông báo cùng với chữ ký số của nó tới người nhận.
●Người nhận sử dụng khóa công khai của người gửi để kiểm tra nguồn gốc của thông báo và nó không bị giả mạo trong khi truyền.
Intranet
Extranet
InternetAlice
Bob
Chữ ký số
Hàm băm
Thông
báo
Chữ
ký
Khóa riêng
Mã
hóa
Tóm
lược
Thông
báo
Giải
mã
Khóa công khai
Tóm lược
mong
muốn
Tóm
lược
tính
được
Hàm băm
Người ký
Người nhận
Kênh
Digest
Algorithm
Thuật toán
tóm lược
Chữ ký số
Vấn đề liên quan đến người ký
Làm thế nào để có thể tin cậy được người gửi?
Moving towards PKI …
Chứng chỉ số
Chứng chỉ sốChứng chỉ số là sự gắn kết khóa công khai của một thực thể với một hoặc nhiều thuộc tính nhận dạng nó.
●Thực thể có thể là người, một thiết bị phần cứng,một dịch vụ,…
●Chứng chỉ số được phát hành bởi một người nào đó
●Chứng chỉ tự ký thông thường không thật tin cậy.
- Thông thường người phát hành là một bên thứ 3 tin cậy.
Chứng
chỉ
Chứng chỉ số
Người phát
hànhChủ
thể
Chữ ký số
của người
phát hành
Khóa công khai của
chủ thể
VÍ DỤ KHUÔN DẠNG CHỨNG
CHỈ SỐ X.509
MÔ HÌNH TRAO ĐỔI CHỨNG CHỈ
SỐ
Certificate
Authority
A B
Ku_a CA= EKr_auth[T1, IDA, Ku_a]
(1) CA
Ku_b
CB= EKr_auth[T2, IDB, Ku_b]
(2) CB
Chứng chỉ số ●Phát hành chứng chỉ như thế nào?
●Ai phát hành chứng chỉ?
●Tại sao tin cậy người phát hành chứng chỉ?
●Làm thế nào để biết chứng chỉ còn hiệu lực?
●Làm thế nào để hủy bỏ chứng chỉ?
●Ai đang hủy bỏ chứng chỉ?
Các vấn đề
Moving towards PKI …
Hạ tầng cơ sở khóa công khai (PKI)
Hạ tầng cơ sở khóa công khai (PKI)
PKI là một hạ tầng để hỗ trợ và
quản lý
khóa công khai dựa trên chứng chỉ
số
Hạ tầng khóa công khai (PKI)
“A PKI là một tập các chuẩn, các CA cấu trúc
giữa
các CA, các phương pháp tìm và phê chuẩn
đường
dẫn chứng thực, các giao thức vận hành, quản
lý,
Các công cụ chứng thực chéo và những luật
pháp
được hỗ trợ “
“Digital Certificates” book – Jalal Feghhi, Jalil Feghhi, Peter
Williams
Hạ tầng khóa công khai (PKI)
Tập trung vào:
●PKI X509
●Các chứng chỉ số X509
●Các chuẩn được định nghĩa bởi nhóm công tác IETF, PKIX
… X509 không phải là tiếp cận duy nhất (SPKI)
PKI X509 Các thành phần cơ bản:
●Phát hành chứng chỉ (CA)
●Đặng ký (RA)
●Hệ thống phân phối chứng
chỉ
Các ứng dụng PKI
Phía người sử
dùng
Phía nhà cung
cấp
PKI X509 – Mô hình đơn giản
CA
RA
Thực thể
chứng thực
Directory
Dịch vụ ứng
dụng
USER ở xa
USER
cục bộ
Certs,
CRLs
Yếu cầu Cert.
Certificate đã được ký Intern
et
PKI X509 CA
Nhiệm vụ cơ bản:
●Sinh khóa
●Sinh chứng chỉ số
●Phát hành và phân phối chứng chỉ
●Hủy bỏ chứng chỉ
●Hệ thống sao lưu và phục hồi khóa
●Chứng thực chéo
PKI X509 RA
Nhiệm vụ cơ bản:
●Đăng ký thông tin chứng chỉ
●Đăng ký trực tiếp
●Đăng ký từ xa
●Đăng ký tự động
●Hủy bỏ
PKI X509 Hệ thống phân phối chứng
chỉLưu giữ:
●Chứng chỉ số
●Danh sách chứng chỉ hủy bỏ (CRLs)
Đặc biệt:
●CSDL
●LDAP
Certificate Revocation List
Các chứng chỉ đã bị
thu hồi vẫn duy trì
trong CRL cho đến khi
chúng hết hiệu lực
CRL
CRL
●Các CRL được công bố bởi CAs trong những
khoảng thời gian xác định
●Users có trách nhiệm tải CRL về và kiểm tra xem chứng chỉ có còn hiệu lực hay không
●Ứng dụng của người dùng phải xử lý các quá trình hủy bỏ.
Xác định trạng thái chứng chỉ trực
tuyến
(OCSP)●Lựa chọn từ các CRL
●IETF/PKIX Chuẩn kiểm tra thời gian thực xem chứng chỉ có bị thu hồi hay bị treo không.
●Yêu cầu độ sẵn sàng cao của Server OSCP
CRL đối lập OCSP
ServerUser CA
CRL
Directory
Tải CRL
CRL
User CACRL
Directory
Tải
CRL
ID của chứng
chỉ
Được kiểm tra
Trả lời về trạng
thái chứng chỉ
OCSP
Server
OCS
P
PKI X509 Các ứng dụng PKI
Chức năng được yêu cầu:
●Chức năng mật mã
●Lưu giữ thông tin cá nhân an toàn
●Xử lý chứng chỉ số
●Truy nhập Directory
●Truyền thông dễ dàng
PKI X509 Các vấn đề pháp lý
và tin cậy
PKI X509 Các vấn đề pháp lý và tin
cậy●Tại sao tin cậy CA?
●Làm thế nào để có thể xác định trách nhiệm pháp
lý của CA?
PKI X509 Những tiếp cận tới khía cạnh tin
cậy và pháp lý●Tại sao lại tin cậy CA?
●Làm thế nào xác định được trách nhiệm của CA?
Phân cấp chứng chỉ, Chứng thực
chéo
Chính sách chứng chỉ (CP) và tuyên bố chính sách chứng chỉ
(CPS)
PKI X509 Tiếp cận tới vấn đề tin cậy
Phân cấp chứng chỉ và
chứng thực chéo
CA CA
CA
RA RA
CA
RA
LR
A
LR
A
C
A
C
A
R
A
C
A
C
A
R
A
R
A
Director
y
Services
Interne
t
Internet
Sự phát triển của công nghệ CA
Mỗi thực thể có chứng chỉ của chính nó (Có thể hơn 1). Chứng chỉ của root CA là tự ký và của Sub CA được ký bởi CA mẹ nó.
Mỗi CA có thể phát hành CRLs.
Mỗi thực thể cần tìm đường dẫn chứng thực tới CA mà nó tin cậy.
Phân cấp chứng chỉ đơn
giảnRoot CA
Sub-CAs
End Entities
Alice Bob
Đường dẫn chứng thực đơn
giản Alice tin cậy root CA
Bob gửi thông báo cho Alice
Alice cần chứng chỉ của Bob, chứng chỉ
của CA đã ký chứng chỉ của Bob tiếp tục
cho tới chứng chỉ tự ký của root CA.
Alice cũng cần CRL của mỗi CA.
Chỉ sau khi Alice kiểm tra được chứng chỉ
của Bob còn hiệu lực và được tin cậy mới
kiểm tra chữ ký của Bob.
Trusted
Root
1
2 3
1.Nhiều Root
2.Chứng thực chéo đơn giản
3.Chứng thực chéo phức tạp
Các vấn đề trở nên phức tạp
hơn khi phân cấp và chứng
thực chéo được sử dụng
PKI X509
Trusted
Root
3
Root được
tin cậy
Tìm đường dẫn và chứng thực
chéo
PKI X509 Các khía cạnh
Chính sách chứng chỉ
và
tuyên bố chứng chỉ
Chính sách chứng chỉ (CP)●Tài liệu xác định quyền, trách nhiệm, nghĩa vụ
của mỗi bên trong PKI.
●Chính sách chứng chỉ (CP) là tài liệu có hiệu lực pháp lý
●CP thường được công bố bởi CA
Chính sách chứng chỉ (CP)
POLICY
OUTLINE
COMMUNITY
&
APPLICABIL
ITY RIGHTS,
LIABILITIES
& OBLIGATIONS
OPERATIONA
L
REQUIREME
NTS
CERTIFICAT
E &
CRL
PROFILESIDENTIFICATIO
N &
AUTHENTICATI
ON
C
PTECHNICAL
SECURITY
CONTROL
●Các vấn đề trách nhiệm.
●Kiểm soát truy nhập Repository
●Các yếu cầu bảo mật●Các thủ tục đăng ký
●Treo và hủy bỏ(Online/CRL)
●Kiểm soát an ninh vật lý.
●Chấp nhận chứng
chỉ
Các vấn đề của CP
Tuyên bố chính sách chứng chỉ
(CPS)●Tài liệu xác định những vấn đề xẩy ra trong
thực
tế để hỗ trợ những tuyên bố chính sách trong
CP
của PKI
●CPS là một tài liệu có hiệu lực pháp lý điều
kiện hạn chế
PHYSICAL, PROCEDURAL
& PERSONNEL
CERTIFICATE &CRL
PROFILES
INTRODUCTION
GENERALPROVISIO
NS
IDENTIFICATION &
AUTHENTICATION
OPERATIONAL REQUIREMENTS
SPECIFICATION
ADMINISTRATION
TECHNICAL
SECURITY
CONTROLS
CP
S
CPS
Các chuẩn IETF (PKIX)●Chứng chỉ X.509 và thông tin chính của CRL
●Các giao thức quản lý PKI
●Các định dạng yêu cầu chứng chỉ
●Khung CP/CPS
●LDAP, OCSP, ...
http://www.ietf.org/