Xem mẫu
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
MỤC LỤC
MỞ ĐẦU
Ngày nay, việc giao tiếp qua mạng Internet đang trở thành một nhu c ầu
cấp thiết. Các thông tin truyền trên mạng rất quan trọng, nh ư mã s ố tài
khoản, thông tin mật, quá trình trao đổi thông tin hàng hoá, dịch vụ và thanh
toán qua đường truyền trên mạng máy tính hoặc công nghệ điện tử khác trong
thương mại điện tử … Internet đã trở thành công cụ dùng để trao đổi các công
việc kinh doanh. Do đó, nhu cầu an ninh, an toàn trên mạng máy tính đã trở
thành vấn đề cấp thiết khi mà hầu hết các công việc, thông tin đang dần
được số hoá.
Để thực hiện thành công các phiên giao dịch điện tử giữa các vùng thì
cơ sở hạ tầng cũng quan trọng như các chính sách, các tiêu chuẩn cần ph ải
được ban hành và thiết lập. Các hệ mật mã khoá công khai có th ể cung cấp
môi trường an ninh cho việc thực hiện trao đổi các thông tin th ương mại,
nhạy cảm giữa các tổ chức cũng như giữa các cá nhân với nhau. Các bi ện
pháp an ninh thích hợp để đảm bảo sự tin cậy của các cá nhân cũng như các
tổ chức kinh doanh vào các hệ thống mạng máy tính quản lý càng được đặc
biệt quan tâm hơn.
Xuất phát từ tình đó, đề tài của em là tìm hiểu, nghiên c ứu v ề công
nghệ CA và ứng dụng trong thương mại điện tử. Trong đề tài của em t ập
trung nghiên cứu những nội dung sau :
Chương 1 : Tổng quan về thương mại điện tử.
Chương 2 : Tổng quan về cơ sở hạ tầng khóa công khai và ứng dụng
của nó trong thương mại điện tử.
Chương 3 : CA (Certificate Authority)
Sinh viên : Trần Thị Thu Hà 1 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Với khối lượng công việc lớn và thời gian có hạn, trong quá trình tìm
hiểu, nghiên cứu không tránh khỏi những thiếu sót. Vì vậy em rất mong được
sự ủng hộ, đóng góp ý kiến của thầy cô và các bạn.
Em xin chân thành cám ơn !
Sinh viên
Trần Thị Thu Hà
Sinh viên : Trần Thị Thu Hà 2 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Chương 1. TỔNG QUAN VỀ THƯƠNG MẠI ĐIỆN TỬ
Sự phát triển nhanh chóng của khoa học công nghệ, đặc bi ệt là s ự phát
triển của công nghệ mạng máy tính và kỹ thuật tính toán đã làm thay đổi rất
nhiều hoạt động xã hội. Thương mại điện tử ra đời trong bối cảnh đó.
1.1. Khái niệm thương mại điện tử :
Thương mại điện tử (gọi là thị trường điện tử, th ị trường ảo, E-
Commerce hay E-Business) là quy trình mua bán ảo thông qua việc truy ền d ữ
liệu giữa các máy tính trong chính sách phân phối của tiếp th ị. Tại đây một
mối quan hệ thương mại hay dịch vụ trực tiếp giữa người cung cấp và khách
hàng được tiến hành thông qua Internet.
Định nghĩa :
Dựa trên góc độ xem xét :
+ Dưới góc độ trao đổi thông tin : Thương mại điện tử là quá trình trao
đổi thông tin hàng hoá, dịch vụ và thanh toán qua đ ường truy ền trên m ạng
máy tính hoặc công nghệ điện tử khác.
+ Dưới góc độ kinh doanh : Thương mại điện tử là quá trình ứng d ụng
công nghệ vào các quá trình giao dịch kinh doanh và quá trình sản xuất.
+ Theo khía cạnh dịch vụ : Thương mại điện tử là một công cụ ph ục
vụ mục tiêu cắt giảm chi phí nhưng vẫn đảm bảo nâng cao chất l ượng hàng
hoá và tăng tốc độ cung cấp dịch vụ và quá trình quản lý.
Tổ chức luật thương mại quốc tế đưa ra định nghĩa : Thương mại
điện tử là việc trao đổi thông tin thương mại thông qua các phương ti ện
điện tử và không cần phải viết ra giấy bất cứ công đoạn nào của quá
trình giao dịch.
Thương mại điện tử đã trở nên khá phổ biến : Những hình thức kinh
doanh mới trên các phương tiện điện tử liên tục xuất hiện, đặc biệt là dịch
vụ kinh doanh nội dung số. Mặc dù mới hình thành, nh ưng các hoạt đ ộng
Sinh viên : Trần Thị Thu Hà 3 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
trong lĩnh vực này đã được triển khai rộng khắp và đem lại doanh thu đáng
kể.
Kinh doanh các dịch vụ giá trị gia tăng qua thiết bị di động tăng nhanh,
như dịch vụ cung cấp nhạc chuông, hình nền, tra cứu thông tin. Kinh doanh
trong các lĩnh vực đào tạo trực tuyến, báo điện tử, cơ sở dữ liệu trực tuyến,
trò chơi trực tuyến, trò chơi tương tác qua truy ền hình, bình ch ọn k ết qu ả th ể
thao, xem phim, nghe nhạc trực tuyến cũng tăng trưởng mạnh.
Cùng với lượng người sử dụng Internet và thẻ tín dụng tăng nhanh, số
lượng người tiêu dùng mua sắm qua mạng tăng lên nhanh chóng, đặc bi ệt
trong giới trẻ ở khu vực đô thị. Tâm lý và thói quen mua bán b ắt đ ầu thay đ ổi
từ phương thức truyền thống sang phương thức mới của thương mại điện tử.
Chính vì vậy, bên cạnh những lợi ích kinh tế to lớn, thương mại điện
tử còn được lợi dụng như là công cụ để tác động tiêu cực về kinh tế và lối
sống trên toàn xã hội. Chúng ta có thể thấy được những tiêu cực có thể xảy ra
và những vấn đề liên quan đến an ninh quốc gia mà chúng ta cần đề phòng.
1.2. An ninh quốc gia trong thương mại điện tử :
Nói một cách hình tượng, Thương mại điện tử giống như một cái “Chợ
toàn cầu”. Đã là chợ thì ngoài kẻ mua, người bán còn có nhi ều l ưu manh,
trộm cắp, lừa đảo, gian lận, … làm vẩn đục môi trường. Đó là chưa kể đến
việc mua bán nhiều mặt hàng bị cấm như thuốc gây nghiện, các loại đồ cổ có
giá trị, các loại hoá chất dùng trong công nghiệp, buôn bán trẻ em, ph ụ n ữ, …
và không loại trừ cả những bí mật liên quan đến an ninh quốc gia. Đi ều đó
nói lên tính phức tạp, khó khăn trong công tác bảo vệ an ninh qu ốc gia trên
lĩnh vực thương mại điện tử.
Mục tiêu của an ninh quốc gia là giữ vững ổn định chính trị, xã h ội,
đảm bảo sự phát triển kinh tế - xã hội lành mạnh và có hiệu quả theo đ ịnh
hướng xã hội chủ nghĩa, tiếp thu có chọn lọc nh ững tinh hoa văn hoá c ủa
nhân loại đảm bảo truyền thống văn hoá dân tộc, th ực hi ện h ội nh ập kinh t ế
Sinh viên : Trần Thị Thu Hà 4 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
trong khu vực và trên phạm vi toàn thể giới vì sự phát tri ển kinh t ế đ ất n ước.
Giữ vững nền độc lập dân tộc đảm bảo mục tiêu mà Đảng ta v ạch ra là “dân
giàu nước mạnh, xã hội công bằng, dân chủ và văn minh”.
1.3. Những giải pháp chủ yếu nhằm đảm bảo an ninh qu ốc gia trong
thương mại điện tử :
Thực chất, thương mại điện tử là một loại hình dịch vụ Internet. Để
đảm bảo tốt an ninh quốc gia trong thương mại điện tử, chúng ta nên th ực
hiện các biện pháp sau :
1.3.1. Xây dựng cho được một cơ sở hạ tầng công nghệ đủ tin cậy :
Hạ tầng cơ sở công nghệ bao gồm các chuẩn của doanh nghiệp, của
Nhà nước với sự liên kết với chuẩn Quốc tế, với k ỹ thuật và công ngh ệ ứng
dụng. Đảm bảo đủ khả năng đáp ứng yêu cầu (thời gian, dung lượng, dịch vụ
v.v..) và hoạt động luôn ổn định, có tính kinh tế và tính cạnh tranh cao.
1.3.2. Vấn đề an ninh quốc gia trong thương mại điện tử :
Do thông tin về giao dịch thương mại điện tử là loại thông tin hết sức
nhạy cảm vì nó liên quan đến lợi ích kinh t ế c ủa ng ười tham gia th ương m ại
điện tử về phương diện Nhà nước, ngoài những vấn đề cần lưu ý ở trên.
Chúng ta cần quan tâm đề phòng những khả năng sau đây mà k ẻ thù (Hacker)
có thể lợi dụng:
- Truyền tải tự động trên mạng Internet, bọn xấu sẽ sửa chữa các thư
tín, hợp động, giả mạo chữ ký hoặc giả mạo thư từ, hợp đồng đánh lừa nơi
nhận để phục vụ ý đồ của họ.
- Cần có nhóm chuyên nghiên cứu lý thuyết chữ ký s ố và tính xác th ực
và ứng dụng của nó trong thương mại điện tử.
- Phải xây dựng các thuật toán mã hoá các thông đi ệp theo m ức đ ộ b ảo
mật của từng loại thông điệp. Những thuật toán này phải được cơ quan có
thẩm quyền quy định của Nhà nước thông qua và quản lý.
Sinh viên : Trần Thị Thu Hà 5 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Những dữ liệu nào chứa những thông tin quan trọng thì đ ối với n ền
kinh tế quốc gia, hoặc liên quan đến những bí mật quốc gia thì d ứt khoát
không được lưu trên mạng có kết nối với Internet.
Trên đây là một số vấn đề có liên quan đến an toàn dữ liệu và an ninh
quốc gia mà chúng ta có thể áp dụng khi tham gia thương mại điện tử.
Sinh viên : Trần Thị Thu Hà 6 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Chương 2. TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHOÁ CÔNG KHAI
VÀ VAI TRÒ CỦA NÓ TRONG THƯƠNG MẠI ĐIỆN TỬ
2.1. Tổng quan về cơ sở hạ tầng khóa công khai :
2.1.1. Sự hình thành của PKI:
PKI (Public key Infrastructure) ra đời năm 1995, khi mà các tổ chức công
nghiệp và các Chính phủ xây dựng các tiêu chuẩn chung dựa trên phương
pháp mã hoá để hỗ trợ một hạ tầng bảo mật thông tin trên m ạng Internert.
Tại thời điểm đó mục tiêu được đặt ra là xây dựng một bộ tiêu chu ẩn b ảo
mật tổng hợp cùng các công cụ và chính sách cho phép người sử dụng cũng
như các tổ chức có thể tạo lập, lưu trữ và trao đổi các thông tin một cách an
toàn trong phạm vi cá nhân và công cộng.
2.1.2. Cơ sở hạ tầng của khoá công khai :
Nền tảng khoá công khai cung cấp một chứng chỉ số dùng để xác minh
một cá nhân hay tổ chức và các dịch vụ danh mục có thể lưu trữ và khi cần có
thể thu hồi các chứng chỉ số. Mặc dù các thành ph ần cơ bản c ủa PKI đ ều
được phổ biến, nhưng một số nhà cung cấp đang muốn đưa ra những chuẩn
PKI riêng khác biệt. Một tiêu chuẩn chung về PKI trên Internet cũng trong quá
trình xây dựng. PKI theo nghĩa đầy đủ gồm 3 phần chính :
Phần 1: Tập hợp các công cụ, phương tiện, giao thức bảo đảm an toàn
thông tin.
Phần 2: Hành lang pháp lý: Luật giao dịch điện tử, các quy định dưới
luật.
Phần 3: Các tổ chức điều hành giao dịch điện tử (CA, RA …)
Một cơ sở hạ tầng mã khoá công khai là sự kết h ợp giữa sản ph ẩm
phần mềm, phần cứng, chính sách phục vụ và thủ tục. Nó cung cấp n ền tảng
bảo mật cơ bản, cần thiết để thực hiện các giao dịch, trao đổi thông tin. PKI
dựa trên cơ sở các nhận dạng số gọi là “chứng thực số” mà cơ chế hoạt động
Sinh viên : Trần Thị Thu Hà 7 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
giống như “hộ chiếu điện tử”, và ràng buộc chữ ký số của người sử dụng với
khoá công khai của người đó.
2.1.3. Chức năng của PKI :
PKI dưới góc độ kĩ thuật là một hệ thống công nghệ vừa mang tính tiêu
chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và qu ản
lý các chứng chỉ số (digital certificate) cũng như các khoá mã hoá công khai và
khoá riêng.
- Bảo đảm bí mật các thông tin truyền trên mạng: Thực thể không
được cấp quyền, không thể xem trộm bản tin.
- Bảo đảm toàn vẹn các thông tin truyền trên mạng: Thực thể không
được cấp quyền có thể thay đổi bản tin.
- Bảo đảm xác thực các thông tin truyền trên mạng: Thực thể nh ận
bản tin có thể định danh được thực thể gửi bản tin và ngược lại.
- Bảo đảm hỗ trợ các yêu cầu chống chối cãi.
Nhờ những khả năng đó, trên hệ thống này, các thực th ể không bi ết
mặt nhau, từ xa có thể tiến hành các giao dịch trong niềm tin cậy lẫn nhau.
2.1.4. Các yêu cầu của cơ sở hạ tầng (Infrastructure Requirements) :
Thương mại điện tử có thể áp dụng trên phạm vi toàn cầu khi tập các
tiêu chuẩn bảo đảm an ninh cơ sở chung được thoả thuận giữa các bên tham
gia. Do đó, để đảm bảo thông suốt và tin cậy cho các giao dịch điện t ử, tập
các dịch vụ an ninh chung của cơ sở hạ tầng cần phải tạo thành một chuẩn.
Chuẩn này phải có khả năng hỗ trợ rộng rãi về nhiều mặt, đáp ứng được đầy
đủ các khả năng của các công nghệ được sử dụng trong các ứng dụng kinh
doanh. Dịch vụ đảm bảo an ninh cho thư điện tử có thể chống lại việc xem
trộm của đối tượng giả mạo, nó cho phép người gửi và người nh ận ki ểm tra
nhận dạng của nhau. Các giao dịch tài chính cần phải được ký bằng ch ữ ký
số và có thể được xác thực để đảm bảo độ tin cậy ở nơi nhận.
2.1.4.1. Uỷ thác nhờ phía thứ ba (third-party trust):
Sinh viên : Trần Thị Thu Hà 8 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Mật mã khoá công khai đòi hỏi phải biết khoá công khai của người sử
dụng. Tuy nhiên, trên các mạng diện rộng đòi hòi này là không th ực t ế và yêu
cầu mỗi người sử dụng cần phải thiết lập trước các quan hệ với tất cả
những người còn lại là không thể thực hiện được.
Third-party trust là yêu cầu cơ bản cho bất kỳ dịch vụ nào đảm b ảo an
toàn thông tin trên diện rộng nào dựa trên hệ mật mã công khai. Bên th ứ ba tin
cậy được có tác dụng đảm bảo, cho phép người dùng tin tưởng vào bất cứ
khoá công khai nào được xác thực bởi bên thứ ba này.
2.1.4.2. Xác thực mức độ tin cậy của người dùng (CA):
CA là nơi tập trung đáp ứng các yêu cầu về xác thực mức độ tin cậy
của mọi người sử dụng, nó đóng vai trò như hộ chiếu cho công dân. Third-
party trust có vai trò như trường hợp chúng ta muốn vào một qu ốc gia nào thì
phải xuất trình hộ chiếu, thông qua Third-party trust mà CA có đ ược độ tin
cậy vào nhận dạng của người dùng
2.1.4.3. Xác nhận chéo (Cross-certification):
Xác nhận chéo là mở rộng của Third-party trust. Là quá trình mà trong
đó cả hai CA đã chắc chắn trao đổi thông tin về khoá mã với nhau, khi đó mỗi
CA có thể kiểm tra tính tin cậy về khoá của CA kia. Ti ến trình bao g ồm vi ệc
kiểm tra chéo giữa hai CA.
Việc thực hiện kiểm tra chéo tiến hành như sau : CA ở t ổ ch ức th ứ
nhất tạo một nhận dạng của mình có chứa khoá công khai c ủa CA ở t ổ ch ức
thứ hai và thực hiện việc ký, CA ở tổ chức thứ hai cũng tạo cho mình m ột
nhận dạng chứa khoá công khai của tổ chức thứ nhất và th ực hi ện ký. Vì
vậy, những người sử dụng ở mỗi CA được bảo đảm rằng mỗi CA đã tin c ậy
lẫn nhau. Mỗi người sử dụng trong mỗi CA trong khi trao đổi thông tin v ề
khoá mã cần phải hoàn toàn tuân thủ các chính sách an ninh c ủa nh ững ng ười
khác.
2.1.4.4. Nhận dạng người dùng (Certificates) :
Sinh viên : Trần Thị Thu Hà 9 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Xác nhận người dùng trên mạng giống như một hộ chiếu điện tử. Nó
chứa các thông tin được sử dụng để kiểm tra xác nhận của người ch ủ sở h ữu
nó (ví dụ như tên của người sử dụng). Phần cuối của thông tin chứa trong xác
nhận người dùng này chính là khoá công khai của người sở hữu, khoá công
khai này lại có thể được sử dụng để mã hoá chính ph ần dữ li ệu dành cho
việc xác nhận người sỡ hữu, hoặc dùng để kiểm tra chữ ký s ố của người s ở
hữu.
2.2. Cơ sở khoa học về PKI :
2.2.1. Mã hoá :
Từ năm 1976, khi hệ mật mã phi đối xứng (mật mã khoá công khai) ra
đời, nhiều khái niệm mới gắn với mật mã học đã xuất hiện: chữ ký s ố, hàm
băm, mã đại diện, chứng chỉ số.
Các thông điệp cần chuyển đi và cần được bảo vệ an toàn gọi là bản rõ
(plaintext), và được ký hiệu là P. Nó có thể là một dòng các bít, các file, âm
thanh số hoá, … Bản rõ được dùng để lưu trữ hoặc để truyền đạt thông tin.
Trong mọi trường hợp bản rõ là thông điệp cần mã hoá. Quá trình xử lý một
thông điệp trước khi gửi được gọi là quá trình mã hoá (encryption). Một thông
điệp đã được mã hoá được gọi là bản mã (ciphetext), và được ký hiệu là C.
Quá trình xử lý ngược lại từ bản mã thành bản rõ được gọi là quá trình giải
mã (decryption)
Hệ mật mã là tập hợp các thuật toán, các khoá nhằm che dấu thông tin
cũng như là rõ nó.
Một sơ đồ hệ thống mật mã là một bộ năm (P,C,K,E,D) trong đó :
P : Là một tập hữu hạn các ký tự bản rõ – plaintext.
C: Là một tập hữu hạn các ký tự bản mã – ciphertext.
K: Là một tập hữu hạn các khoá.
E : Là tập hàm lập mã - Encryption.
D: Là tập hàm giải mã – Decryption.
Với mỗi k ∈ K có : một hàm lập mã Ek ∈ E ; là một ánh xạ từ Ek : P → C
Sinh viên : Trần Thị Thu Hà 10 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Và một hàm giải mã Dk ∈ D ; là một ánh xạ từ Dk : C → P
Sao cho Dk (Ek(x))=x, ∀ x ∈ P
Hiện nay các hệ mật mã được phân làm hai loại chính là : Hệ mật mã
đối xứng và hệ mật mã phi đối xứng (hay còn gọi là h ệ mật mã khoá công
khai).
- Một số hệ mật mã đối xứng là : DES, IDEA, Triple DES …
- Một số hệ mật mã công khai là : RSA, Elgamal, ECC …
Mã hoá đối xứng : Secret key
Encryption Decryption
Plaintext Ciphertext Plaintext
Sender Recipient
* Ưu điểm của mã hoá đối xứng :
- Tốc độ mã hoá nhanh.
- Sử dụng đơn giản: Chỉ cần dùng một khoá cho cả 2 bước mã hoá và giải
mã.
* Nhược điểm của mã hoá đối xứng :
- Các phương pháp mã hoá cổ điển đòi hỏi người mã hoá và người gi ải
mã phải cùng chung một khoá. (Chính xác là biết khoá này “dễ dàng” xác đ ịnh
khoá kia). Khi đó khoá phải được giữ bí mật tuyệt đối. Mặc khác 2 ng ười
cùng giữ chung một bí mật thì “khó” “bí mật”.
- Vấn đề quản lý và phân phối khoá là khó khăn và ph ức t ạp khi s ử
dụng hệ mã hoá cổ điển. Người gửi và người nhận luôn luôn th ống nh ất v ới
nhau về vấn đề khoá. Việc thay đổi khoá là rất khó và dễ bị lộ.
Sinh viên : Trần Thị Thu Hà 11 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
- Khuynh hướng cung cấp khoá dài, lại phải được thay đổi thường
xuyên cho mọi người, trong khi vẫn duy trì cả tính an toàn và chi phí, s ẽ c ản
trở rất nhiều tới việc phát triển hệ mật mã cổ điển.
Mã khoá công khai :
Plaintext Ciphertext Plaintext
Recipient’s Recipient’s
public key private key
Recipient
Senders
* Ưu điểm của mã hoá khoá công khai :
- Dùng cặp khoá để mã hoá nên không cần bảo mật khoá mã hoá, ch ỉ
cần bảo mật khoá giải mã.
- Có thể dùng mã hoá khoá công khai để tạo ch ữ ký đi ện t ử, ch ứng ch ỉ
số.
* Nhược điểm khoá công khai :
- Tốc độ mã hoá / giải mã chậm, “khó” thực hiện vi ệc mã hoá các b ản
tin dài.
2.2.2. Ký số :
Chữ ký thông thường (chữ ký truyền thống):
- Chữ ký là một bộ phận vật lý của tài liệu được ký.
- Việc kiểm tra chữ ký truyền thống được thực hiện bằng cách so sánh
nó với chữ ký đã xác thực.
- Bản sao (copy) của tài liệu đã ký thường là khác với bản tài liệu gốc.
- Chữ ký thông thường trong các trường hợp quan trọng thường phải có
dấu “xác thực” “đỏ chót” để xác nhận rằng chữ ký gắn vào tài li ệu đó đã
được xác nhận bởi cơ quan có thẩm quyền.
Với thoả thuận thông thường, hai đối tác xác nhận sự đồng ý bằng cách
kí tay vào cuối các hợp đồng. Và bằng cách nào đó ng ười ta ph ải th ể hi ện đó
Sinh viên : Trần Thị Thu Hà 12 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
là chữ kí của họ và kẻ khác không thể giả mạo. Mọi cách sao chép trên văn
bản thường dễ bị phát hiện vì bản sao có thể phân biệt được với bản gốc.
Chữ kí thông thường được kiểm tra bằng cách so sánh nó với các chữ kí
xác thực khác. Ví dụ, ai đó kí một tấm séc để mua hàng, người bán ph ải so
sánh chữ kí trên mảnh giấy với chữ kí nằm ở mặt sau của thẻ tín dụng để
kiểm tra. Dĩ nhiên, đây không phải là phương pháp an toàn vì nó dễ dàng b ị
giả mạo.
Chữ ký số :
- Chữ ký số không được “gắn” một cách hữu cơ với tài liệu được ký.
Do đó, thuật toán ký được dùng phải “trói” chữ ký với tài liệu được ký theo
một cách thức nào đó.
- Việc kiểm tra chữ ký số được sử dụng một thuật toán kiểm tra đã
được công khai hoá hoàn toàn. Do đó, đứng về nguyên tắc mọi người có thể
kiểm tra chữ ký số của tài liệu đó.
- Bản sao của tài liệu ký không khác gì so với bản gốc. Đây là m ột đ ặc
điểm cần lưu ý.
- Chữ ký số không cần “dấu, đỏ chót” của cơ quan xác th ực ch ữ ký mà
sẽ có cách chống chối bỏ mỗi khi anh ta đã ký vào tài li ệu và ch ứng minh
được đó đích thực là chữ ký của anh đã ký vào tài liệu đó.
Các giao dịch trên mạng cũng được thực hiện theo cách người gửi và
người nhận cũng phải kí vào hợp đồng. Chỉ khác là văn bản truy ền trên m ạng
được biểu diễn dưới dạng “số” (chỉ dùng chữ số 0 và 1), ta gọi văn bản này
là “văn bản số”. Do đó chữ kí trên “văn bản số” cũng khác với ch ữ kí trên văn
bản giấy thông thường.
Việc giả mạo và sao chép lại đối với “văn bản số” là việc hoàn toàn dễ
dàng và không thể phân biệt được bản gốc với bản sao. Vậy một chữ kí ở
cuối văn bản loại này không thể chịu trách nhiệm đối với toàn bộ n ội dung
văn bản. Chữ kí thể hiện trách nhiệm đối với toàn bộ văn bản là ch ữ kí đ ược
kí trên từng bít của văn bản. Bản sao của “chữ kí số” có tư cách pháp lí.
Sinh viên : Trần Thị Thu Hà 13 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Chữ kí số có thể được kiểm tra nhờ dùng một thuật toán ki ểm tra công
khai. Như vậy, bất kì ai cũng có thể kiểm tra được ch ữ kí số. Vi ệc dùng m ột
sơ đồ chữ kí an toàn có thể sẽ ngăn chặn được khả năng giả mạo.
TrinkSek TrinkSek
Sender Digital Recipient
Sender’s signature Sender’s
private key public key
Đại diện thông điệp :
Để ký số trên một văn bản điện tử, đầu tiên phải tạo đ ại di ện c ủa văn
bản nhờ hàm băm. Một thông điệp được đưa qua hàm băm s ẽ tạo ra m ột giá
trị có độ dài cố định và ngắn hơn được gọi là “Digest”. Mỗi thông điệp đi qua
một hàm băm chỉ cho duy nhất một “Digest”. Ngược lại, “khó” tìm được 2
thông điệp khác nhau mà có cùng một “Digest” (ứng với cùng một hàm băm).
Hàm băm thường kết hợp với chữ ký điện tử ở trên để tạo ra m ột loại
chữ ký điện tử vừa an toàn hơn (không thể cắt/dán), vừa có thể dùng để kiểm
tra tính toàn vẹn của thông điệp.
Các bước để tạo ra chữ ký điện tử như sau :
• Đưa thông điệp cần gửi qua hàm băm trước khi đã số hoá thông điệp đó
để tạo ra “Digest”.
• Mã hoá “Digest” bằng khoá private của người gửi để tạo ra chữ ký
điện tử.
• Gửi bản thông điệp cùng với chữ ký điện tử đến nơi nhận theo yêu
cầu.
Người nhận thông điệp sẽ kiểm tra chữ ký điện tử kèm theo thông điệp
đó bằng khoá công khai của người gửi sau đó đem so sánh kết quả ki ểm th ử
với “Digest” nhận được. nếu trùng nhau thì chấp nhận chữ ký còn không thì
thông điệp đó hoặc giả mạo hoặc chữ ký đó không phải của người gửi.
Sinh viên : Trần Thị Thu Hà 14 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Hàm hash được sử dụng với mục đích rút gọn thông điệp trước lúc ký
vì nếu không có hàm hash thì sẽ gây mấy bất tiện sau đây :
- Thuật toán xác thực và ký thường nhận đầu vào là một dòng bit có đ ộ
dài rất ngắn (cỡ 64, 128 hoặc 160 bít) và tốc độ ký rất chậm. Trong lúc đó các
thông báo được gửi đi thường có độ dài khác nhau và rất dài, thậm chí trong
nhiều trường hợp độ dài của một thông báo ký dài cỡ kbyte hoặc nhi ều
megabyte. Như vậy người ta phải cắt thông báo thành từng block có độ dài
bằng nhau cố định rồi tiến hành “ký” trên từng block đó : Có m block thông
báo thì có m lần ký trên m block đó. Làm như vậy, t ốc đ ộ th ực hi ện ký s ẽ r ất
chậm do phải ký nhiều block. Mặt khác, khi sắp xếp lại rất dễ xảy ra tr ường
hợp không đúng trật tự so với trật tự ban đầu của thông báo. Hoặc th ậm chí
có thể một block nào đó của thông báo bị thất lạc trong quá trình truyền tải.
Vị trí do chủ yếu trên đây, người ta sử dụng hàm hash để th ực hiện
việc rút gọn thông báo trước lúc ký trên thông báo đó - t ức là s ẽ ký trên thông
báo rút gọn thay vì ký trên thông báo gốc.
2.3. Chứng chỉ số :
Chứng chỉ số là kết quả của dự án phát triển chuẩn thư mục X.500 của
ITU-T phát triển vào cuối những năm thập niên 90. Chứng chỉ s ố được ITU-T
đặc tả trong tài liệu X.509 và dần được thay đổi qua các phiên bản cho phù
hợp với thực tế. Chứng chỉ X.509 phiên bản 3 là phiên bản hiện t ại được áp
dụng sử dụng trong các hệ thống sử dụng chứng chỉ số. Dịch vụ xác th ực s ử
dụng chứng chỉ số X.509 là nền tảng để xây dựng các dịch vụ đảm bảo an
toàn cho hệ thống.
Một chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện
một cá nhân, một máy dịch vụ, một công ty, hoặc một vài đối tượng khác và
gắn định danh của đối tượng đó với một khoá khoá công khai, giống như
bằng lái xe, hộ chiếu, chứng minh thư.
Trong chứng chỉ số chứa một khoá công khai được gắn với một tên duy
nhất của một đối tượng (như tên của một nhân viên hoặc máy dịch vụ). Các
Sinh viên : Trần Thị Thu Hà 15 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
chứng chỉ số giúp ngăn chặn việc sử dụng khoá công khai cho vi ệc gi ả m ạo.
Chỉ có khoá công khai được chứng thực bởi chứng chỉ số sẽ làm vi ệc với
khoá bí mật tương ứng. Nó được sở hữu bởi đối tượng với định danh đã được
chứng thực ghi trong chứng chỉ số.
Ngoài khoá công khai, chứng chỉ số còn chứa thông tin về đối tượng
như tên mà nó nhận diện, hạn dùng, tên của CA cấp chứng chỉ số, mã số …
Điều quan trọng nhất là một chứng chỉ số luôn luôn chứa chữ ký số của CA
đã cấp chứng chỉ số đó. Giống như chứng chỉ số đã được đóng dấu, để cho
người sử dụng có thể kiểm tra.
Chứng chỉ số có ba thành phần chính :
- Thông tin cá nhân của người được cấp.
- Khoá công khai (Public key) của người được cấp
- Chữ ký số của CA cấp chứng chỉ
2.4. Các công cụ phần mềm để xây dựng lên một PKI hoàn chỉnh :
2.4.1. Chương trình quản lý khoá :
KeyMan là một công cụ quản lý phía client của PKI (public key
infrastrure). KeyMan quản lý các khoá, các chứng chỉ (certificates), danh sách
thu hồi chứng chỉ (CRLs) và các kho ch ứa tương ứng để l ưu trữ và l ấy ra các
đối tượng này.
KeyMan quản lý kho lưu trữ các khoá, chứng chỉ và danh sách thu hồi
chứng chỉ. Mỗi kho chứa được gọi là một thẻ (token). Một th ẻ là m ột tập
hợp các khoá, chứng chỉ và các danh sách thu hồi chứng ch ỉ. Th ẻ có th ể đ ược
lưu trữ trong nhiều môi trường (ví dụ như file, URL, thiết bị phần cứng …).
Có những kiểu thẻ bài khác nhau với những khả năng khác nhau : Th ẻ bài
phần mềm, phần cứng, thẻ bài không được bảo vệ hoặc thẻ bài được bảo vệ
bởi password hoặc PIN. Một thẻ bao gồm các thiết lập tin c ậy (trust) ph ụ
thuộc ứng dụng cụ thể (ví dụ IBM BlueZ SSLite). Thông th ường, m ột th ẻ
bao gồm nhiều khoá bí mật và các chuỗi chứng chỉ tương ứng để xác nh ận
giữa người sử dụng với các site khác. Thêm vào đó, một th ẻ n ắm gi ữ các
Sinh viên : Trần Thị Thu Hà 16 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
chứng chỉ của các kết nối tin cậy tới đối tác và tới CA (certification
authorities).
2.4.2. Công nghệ OpenCA :
Open là một dự án đồ sộ, có mục đích xây dựng một PKI hoàn ch ỉnh,
chuyên nghiệp, OpenCA được phát triển liên tục từ năm 1999. Từ năm 2001,
OpenCA đã bắt đầu được sử dụng cho các đơn vị cỡ vừa và lớn.
OpenCA sử dụng giao diện web, hỗ trợ hầu hết các web brower chính,
khác với các sản phẩm thương mại, thường không hỗ trợ sản ph ẩm mã
nguồn mở vì sợ bị canh tranh.
OpenCA bao gồm các module :
- Giao tiếp công cộng : Giao diện web để người sử dụng có thể truy
cập qua Internet. Người dùng có thể đăng ký xin cấp chứng chỉ trực tiếp qua
module này.
- Giao tiếp LDAP : Danh bạ công bố khoá công khai, người dùng
thường lấy khoá công khai từ module này để thực hiện việc mã hoá tr ước khi
gửi thư đến đơn vị dùng openCA.
- Giao tiếp RA : Đơn vị điều hành RA sử dụng module này để nhập các
thông tin xác thực cá nhân của người xin cấp chứng chỉ.
- Giao tiếp OCSP : Module hỗ trợ kiểm tra xem chứng chỉ còn hiệu lực
hay không. Công nghệ OCSP có tác dụng như việc công bố CRL, nhưng tính
năng ưu việt hơn hẳn CRL.
- Giao tiếp CA : Module kí số riêng rẽ cho phép CA làm theo nguyên
tắc an ninh - tách biệt khỏi mạng công cộng để bảo vệ tối đa khoá bí m ật.
Điều này khiến cho openCA trở nên an toàn hơn hầu hết các phần mềm CA
hiện nay trên thị trường.
Ngoài những tính năng thiết yếu của 1 PKI, OpenCA có nhiều tính năng
ưu việt như :
+ Đăng nhập nhập bằng chứng chỉ.
+ Hệ thống quản lý quyền mềm dẻo.
Sinh viên : Trần Thị Thu Hà 17 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
+ Sử dụng được hết các tính năng của X.509 mở rộng.
+ OpenCA là phần mềm mã nguồn mở miễn phí, có s ẵn tài li ệu chi ti ết
đầy đủ giúp cho việc tìm hiểu openca dễ dàng hơn.
OpenCA được thiết kế cho một hạ tầng phân tán. Nó có th ể không ch ỉ
điều khiển một CA offline và một RA online, mà việc sử dụng chúng còn giúp
bạn xây dựng một cấu trúc thứ bậc với nhiều mức khác nhau. OpenCA không
phải là một giải pháp nhỏ cho các nghiên cứu vừa và nhỏ. Nó hỗ trợ tối đa
cho các tổ chức lớn như các trường đại học, các công ty lớn.
2.4.3. Công nghệ SSL :
SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa
hai chương trình ứng dụng trên một cổng dịnh trước (socket 443) nhằm mã
hoá toàn bộ thông tin gửi/nhận. Giao thức SSL được hình thành và phát triển
đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgamal và nay
đã trở thành chuẩn bảo mật cài đặt trên Internet.
SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí m ật,
an toàn và chống giả mạo luồng thông tin qua Internet gi ữa hai ứng d ụng b ất
kỳ, thí dụ giữa webserver và các trình duyệt khách (browsers), do đó được sử
dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet.
Toàn bộ cơ chế và hệ thống thuật toán mã hoá sử dụng trong SSL được
phổ biến công khai, trừ khoá phiên (session key) được sinh ra tại th ời đi ểm
trao đổi giữa hai ứng dụng là ngẫu nhiên và bí mật đối với người quan sát
trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải
được chứng thực bởi một đối tượng thứ ba (CA) thông qua chứng ch ỉ đi ện t ử
(digital certificate) dựa trên mật mã công khai (ví dụ RSA).
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có
thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP
và bên dưới các ứng dụng tầng cao hơn như là HTTP (HyperText Transfer
Protocol), LDAP (Lightweight Directory Access Protocol) hoặc IMAP (Internet
Sinh viên : Trần Thị Thu Hà 18 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
Messaging Access Protocol). Hiện nay SSL được sử dụng chính cho các giao
dịch trên Web.
SSL cho phép một server có hỗ trợ SSL tự xác thực với m ột Client cũng
hỗ trợ SSL, cho phép client tự xác thực với server, và cho phép c ả hai máy
thiết lập một kết nối được mã hoá.
- Chứng thực SSL Server : Cho phép client xác thực được sever muốn
kết nối. Lúc này, phía trình duyệt sử dụng các kỹ thuật mã hoá công khai đ ể
chắc chắn rằng chứng chỉ và publicID của server là có giá trị và đ ược c ấp
phát bởi một CA (Certificate Authority) trong danh sách các CA đáng tin c ậy
của client.
- Chứng thực SSL Client : Cho phép server xác thực được client muốn
kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá khoá công khai để
kiểm tra chứng chỉ của client và publicID là đúng, được cấp phát bởi một CA
trong danh sách các CA đáng tin cậy của Server.
- Mã hoá kết nối : Tất cả các thông tin trao đổi giữa client và server
được mã hoá trên đường truyền nhằm nâng cao kh ả năng bảo mật. Đi ều này
rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư.
Ngoài ra tất cả các dữ liệu được đi trên một kết nối SSL đã được mã hoá còn
được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ
liệu.
Giao thức SSL gồm hai tầng:
Tầng thấp nhất là tầng SSL record Protocol. SSL Record Protocol đ ược
sử dụng để đóng gói một vài giao thức ở mức cao hơn. Một trong nh ững giao
thức được đóng gói đó là SSL.
Handshake Protocol, giao thức này cho phép sever và client thực hiện
việc xác thực lẫn nhau, thoả thuận một thuật toán mã hoá và các khoá mật mã
trước khi giao thức ứng dụng gửi hoặc nhận dữ liệu.
2.5. Vai trò của khóa công khai trong thương mại điện tử :
2.5.1. Đối với người dùng :
Sinh viên : Trần Thị Thu Hà 19 Lớp :
CT702
- Đồ án tốt nghiệp Tìm hiểu công nghệ CA và ứng dụng của nó trong
TMĐT
- Có thể truy cập hệ thống, sử dụng dịch vụ tại bất kỳ nơi nào có
Internet.
- Có thể thực hiện những hoạt động thương mại, tài chính, xã hội qua
mạng mà vẫn được đảm bảo tính hợp lệ, an toàn …
- Chọn lựa những thuật toán mã hoá phù h ợp với yêu c ầu c ủa ứng
dụng.
- Đảm bảo được dịch vụ/máy chủ mình truy cập là hợp lệ.
- Bằng cách sử dụng hệ thống PKI người dùng cảm thấy an tâm b ởi vì
tất cả các thông tin đều được mã hoá.
2.5.2. Đối với nhà phát triển, cung cấp dịch vụ :
- Dễ dàng xây dựng ứng dụng, phát triển ứng dụng dựa trên nền t ảng
bảo mật PKI.
- Tất cả các thông tin kiểm tra người dùng có thể được thực hiện trực
tuyến nhờ kết nối đến RA hay off-line.
- Dễ dàng phát triển ứng dụng kết hợp với các ứng dụng dịch vụ công,
ứng dụng thương mại điện tử sẵn có.
INTERNET
Thương mại điện tử
Banking PKI
Mua sắm qua mạng
Video Services
Người dùng
Sinh viên : Trần Thị Thu Hà 20 Lớp :
CT702
nguon tai.lieu . vn
