An toàn thông tin - Chủ đề 7: Chứng nhận khóa công & Tổ chức chứng nhận khóa công (Digital Certificate & Certificate Authority)

Nội dung text: An toàn thông tin - Chủ đề 7: Chứng nhận khóa công & Tổ chức chứng nhận khóa công (Digital Certificate & Certificate Authority)

1. ChChủđềủđề7:7: ChChứứngng nh nhậậnn khĩa khĩa cơng cơng & & TTổổ chchứứcchcchứứngng nh nhậậnn khĩa khĩa cơng cơng ((DigitalDigital CertificateCertificate &&CertificateCertificate AuthorityAuthority))
2. NNộộii dung dung MMởở đđầầuu ChChữữ kýký đđiiệệnn ttửử ChChứứngng nhnhậậnn ssốố CertificateCertificate AuthorityAuthority (CA)(CA) MơMơ hhììnhnh PKIPKI ỨỨngng ddụụngng
3. Demo1Demo1 Văn phịng B cầnthựchiệngiaodKháchịch hàng rút tiề phnvảiớđếiNgânhàngAn $ 5,000,000t?ậnnơi để giao dịch. OK ! Ngườigửi: VăGn phịngửibằ Bng email Ngườinhận: Ngân hàng A Ngườigửi: Văn phịng B Ngày gửi: 20/ 10 / 2007 Ngườinhận: Ngân hàng A Nộidung: Ngày gửi: 20 / 10? / 2007 Nộidung: Rút $5,000,000 Mã tài khoản: NHB-212551245 Rút $5,000,000 Mã tài khoản: NHB-212551245 Văn phịng B Ngân hàng A Gửi
4. NhNhắắclclạạivivềề ChChữữ kýký đđiiệệntntửử TTạạoo chchữữ kýký Dữ liệu Dữ liệu Hash MessageHash Sign Signature Khố bí mật
5. NhNhắắclclạạivivềề ChChữữ kýký đđiiệệntntửử KiKiểểmm tratra chchữữ kýký Dữ liệu Hash Signature Verify ? Khố cơng cộng
6. Demo2Demo2 Giảimã& kiểmtrachữ ký Ok! Chấpnhậnyêu cầu& gửitiền $ 5,000,000 email Mã hĩa & Ký Ngườigửi: Văn phịng B Ngườigửi: Văn phịng B Ngườinhận: Ngân hàng A Ngườinhận: Ngân hàng A Ngày gửi: 20 / 10 / 2007 Ngày gửi: 20 / 10 / 2007 Nộidung: Nộidung: Rút $5,000,000 Rút $5,000,000 Mã tài khoản: NHB-212551245 Mã tài khoản: NHB-212551245
7. Demo3Demo3 Dữ liệu bị tấn cơng trên đường truyền. MIM (Man in Middle) ? RútChuy$5,000,000ển khoản $5,000,000 Mãqua tàitài kho khoảản:n NHB-8888888NHB-212551245 Mã tài khoản: NHB-212551245
8. DigitalDigital CertificateCertificate ChChứứngng nhnhậậnn đđiiệệnn ttửử llàà chchứứngng ththựựcc ssựự ssởở hhữữuu khkhĩĩaa cơngcơng khaikhai Nộidung chứng nhận ThơngThơng tin tin ngngườườisisởở hhữữuu khĩakhĩa cơng cơng khai khai KhĩaKhĩa cơng cơng c cộộngng ChChữữ kýký c củủatatổổ chchứứcc ththứứ baba đđángáng tin tin ccậậyy Chứng nhận điện tử giải quyết được vấn đề MIM
9. TTạạochochứứngng nh nhậậnn Fran’s X509 Subject Name certificate Public Key Subject Name (Other fields) Public Key (Other fields) Signature Hash algorithm Encryption Hash digest Signature CA’s Private key
10. KiKiểểmtrachmtrachứứngng nh nhậậnn Fran’s X509 CA’s X509 certificate certificate Subject Name Subject Name Public Key Public Key (Other fields) (Other fields) Signature Signature CA’s public Signature key Decryption Fran’s Hash digest Cert Info Hash Subject Name algorithm = ? Public Key Hash digest (Other fields)
11. ChuChuẩẩnn X.509 X.509 (ver.(ver. 3.0)3.0) Version: Chỉ định phiên bản của chứng nhận X.509. Version Serial Number: Số loạt phát hành được gán Serial Number bởi CA. Mỗi CA nên gán một mã số loạt Signature Algorithm duy nhất cho mỗi giấy chứng nhận mà nĩ phát hành. Issuer Name Signature Algorithm: Thuật tốn chữ ký Validity Period chỉ rõ thuật tốn mã hĩa được CA sử dụng Subject Name để ký giấy chứng nhận. Trong chứng nhận Public Key X.509 thường là sự kết hợp giữa thuật tốn băm (chẳng hạn như MD5) và thuật tốn Issuer Unique ID khĩa cơng cộng (chẳng hạn như RSA). Subject Unique ID Extensions Signature
12. ChuChuẩẩnn X.509 X.509 (ver.(ver. 3.0)3.0) Issuer Name: Tên tổ chức CA phát hành giấy chứng Version nhận Serial Number Tên phân biệt theo chuẩn X.500 (X.500 Signature Algorithm Distinguised Name – X.500 DN). Hai CA khơng được sử dụng cùng một Issuer Name tên phát hành. Validity Period Validity Period: gồm hai giá trị chỉ định khoảng thời gian mà giấy chứng nhận cĩ Subject Name hiệu lực: not-before và not-after. Public Key Not-before: thời gian chứng nhận bắt Issuer Unique ID đầu cĩ hiệu lực Subject Unique ID Not-after: thời gian chứng nhận hết hiệu lực. Extensions Các giá trị thời gian này được đo theo Signature chuẩn thời gian Quốc tế, chính xác đến từng giây.
13. ChuChuẩẩnn X.509 X.509 (ver.(ver. 3.0)3.0) Issuer Unique ID&Subject Unique ID: Issuer Unique ID&Subject Unique ID: Version sử dụng từ X.509 phiên bản 2, Serial Number dùng để xác định hai tổ chức CA hoặc Signature Algorithm hai chủ thể khi chúng cĩ cùng DN. Issuer Name RFC 2459 đề nghị khơng nên sử dụng Validity Period hai trường này. Subject Name Extensions: Public Key Chứa các thơng tin bổ sung cần thiết mà Issuer Unique ID người thao tác CA muốn đặt vào chứng nhận. Subject Unique ID Extensions Được đưa ra trong X.509 phiên bản 3. Signature
14. ChuChuẩẩnn X.509 X.509 (ver.(ver. 3.0)3.0) Signature: Signature: Version chữ ký điện tử được tổ chức CA áp Serial Number dụng. Signature Algorithm Tổ chức CA sử dụng khĩa bí mật cĩ Issuer Name kiểu quy định trong trường thuật tốn chữ ký. Validity Period Chữ ký bao gồm tất cả các phần khác Subject Name trong giấy chứng nhận. Public Key Ỵ CA chứng nhận cho tất cả các thơng tin Issuer Unique ID khác trong giấy chứng nhận chứ khơng Subject Unique ID chỉ cho tên chủ thể và khĩa cơng cộng. Extensions Signature
15. CertificateCertificate AuthorityAuthority SystemSystem Một tổ chức thứ ba đáng tin cậy Quản lý chữ ký điện tử Quản lý chứng nhận số CA Cấp phát Tìm kiếm chứng nhận chứng nhận Tạo mới Kiểm tra chứng nhận chứng nhận Hủy chứng nhận
16. CertificateCertificate Authority System CA(S) Mơ hình phân cấp Mơ hình tập trung CA trung ương CA chi nhánh CA chi nhánh CA CA CA CA Web of Trust Người sử dụng
17. CertificateCertificate Authority System CA(S) Initialize CA Khởi tạo CA root Khởi tạo CA Khởi tạo CA con Create Cert Thơng tin người dùng Client Yêu cầu chứng nhận Cặpkhố Server Chứng nhận
18. CertificateCertificate AuthorityAuthority SystemSystem –– CA(S) CA(S) Revoke Cert Version Chứng nhận Khĩa bí mật Signature Algorithm Issuer Name This Update Client Next Update Revoked Certificates Chứng nhận Chữ ký Serial Number Revocation Date Server CRL Entry Extensions CRL Extensions Hủychứng nhận & Cậpnhật CRL Signature Phiên bản 2 theo chuẩn của CRL
19. CertificateCertificate AuthorityAuthority SystemSystem –– CA(S) CA(S) Update Cert Chứng nhận Chứng nhận Client Server Chứng nhận được Thơng tin cậpnhật Chữ ký tạomới Thơng tin mới Khố bí mật Search Cert Client Server Danh sách chứng nhận Thơng tin tìm kiếm tìm thấy Tạochứng nhậncần Import chứng nhận import
20. CertificateCertificate AuthorityAuthority SystemSystem –– CA(S) CA(S) Verify Cert Root Client yêu CA1 CA2 cầukiểm tra Cert5 Cert5 Cert1 Cert2 Tìm thấyCert5. Kiểm tra thành cơng Kiểm tra chứng nhận theo mơ hình CA phân cấp
21. Public-keyPublic-key InfrastructureInfrastructure
22. MơMơ hình hình qu quảảnn lý lý khĩa khĩa KeyDB Save keys Upload keys Get keys Delete keys Retrieve Keys Update keys Client Delete keys Update keys (Add cert, pic, userID, revoker; update trust ) Server Key management model
23. MơMơ hình hình qu quảảnlýchnlýchứứngng nh nhậậnn Certificate sDB Certificate Add Certificate Certificate Request Get certificates Revoke certificates Search Certificates Delete certificates Retrieve Certificates Add revoked certific Update certificates Revoke certificates Client Delete certificates Update certificates CRL request CRL DB CAServer Get CRL CRL broadcast Verify certificate Verify certificate Certificate management model
24. MơMơ hình hình ch chứứngng th thựựcc trong trong CA CA phânphân c cấấpp
25. Demo4Demo4 Giải mã & Chứng nhận hợp lệ Xác Tàinhậ nli ệchuữ ký Thơng tin & cịn giáPublic trị key Ok! Tin tưởng & chấp Tổ chức chứng nhận (CA) Đáng tin cậy ? nhận đề nghị. Tạo chứng nhận Xác thực chứng nhận ChYêuứng c nhầuậ ncấ p Ký chứngX.509 nhận theo & Chuẩn X.509 MãPrivate hĩa TàiPublic liệu Thơng tin key key
26. Demo5Demo5 XinGiao c ấdpịch ch vứớngi nhận Ngân hàng Yêu cầu chứng thực ChấChp nhứngận nh giaoận dịch Chứng nhận xác thực xác thựcc. ? OK! Chứng nhận khơng tồn tại
27. Demo6Demo6 Chứng nhHậnủđyãbị HỦY Khĩa bí mậtbị vào 20/10/2007 3:10:22 BẺ ! CA CCầầnchnchứứngng th thựựcc giao dịch ? Xác thực gigiấấychychứứngng nh nhậậnn Hủychứngch nhứậngn nhận Private key ChYứngn êu cầhuậHn đãbị H ỦY chứỦnY ngà g nhậny 20/10/20 07 3:10:22