Chủ đề 8:
Chứng nhận khóa công & Tổ chức chứng nhận khóa công(Digital Certificate &Certificate Authority)
Chủ đề 8:
Chứng nhận khóa công & Tổ chức chứng nhận khóa công(Digital Certificate &Certificate Authority)
ThS. Trần Minh TriếtThS. Trần Minh Triết
Nội dungNội dung
Mở đầuMở đầu
Chữ ký điện tửChữ ký điện tử
Chứng nhận số Chứng nhận số
Certificate Authority (CA)Certificate Authority (CA)
Mô hình PKIMô hình PKI
Ứng dụng…Ứng dụng…
Demo1Demo1
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……..
Rút $5,000,000
Mã tài khoản: NHB-212551245
… ....
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……..
Rút $5,000,000
Mã tài khoản: NHB-212551245
… ....Văn phòng B Ngân hàng A
Văn phòng B cần thực hiện giao dịch rút tiền với Ngân hàng A
$ 5,000,000
Gửi bằng email
GửiGửi
?
?Khách hàng phải đến tận nơi để giao dịch.
OK !
Nhắc lại về Chữ ký điện tửNhắc lại về Chữ ký điện tử
Tạo chữ kýTạo chữ kýDữ liệu
Hash MessageHash Sign Signature
Khoá bí mật
Dữ liệu
Nhắc lại về Chữ ký điện tửNhắc lại về Chữ ký điện tử
Kiểm tra chữ kýKiểm tra chữ kýDữ liệu
Hash
VerifySignature
Khoá công cộng
?
Demo2Demo2
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……..
Rút $5,000,000
Mã tài khoản: NHB-212551245
… ....
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 1 / 8 / 2003
Nội dung:
……..
Rút $5,000,000
Mã tài khoản: NHB-212551245
… ....
$ 5,000,000
email Mã hóa & Ký
Giải mã & kiểm tra chữ ký
Ok! Chấp nhận yêu cầu & gửi
tiền
Demo3Demo3
Dữ liệu bị tấn công trên đường truyền.Dữ liệu bị tấn công trên đường truyền.MIM (Man in Middle)MIM (Man in Middle)
?
……..
Rút $5,000,000
Mã tài khoản: NHB-212551245
… ....
……..
Chuyển khoản $5,000,000
qua tài khoản NHB-8888888
Mã tài khoản: NHB-212551245
… ....
Digital CertificateDigital Certificate
Chứng nhận điện tử là chứng thực sự sở hữu khóa Chứng nhận điện tử là chứng thực sự sở hữu khóa công khaicông khai
Chứng nhận điện tử giải quyết được vấn đề MIMChứng nhận điện tử giải quyết được vấn đề MIM
Thông tin người sở hữu khóa công khai
Thông tin người sở hữu khóa công khai
Khóa công cộngKhóa công cộng
Chữ ký của tổ chức thứ ba đáng tin cậy
Chữ ký của tổ chức thứ ba đáng tin cậy
Nội dung chứng nhận
Tạo chứng nhậnTạo chứng nhận
Subject Name
Public Key
(Other fields)
Hash algorithm
Hash digest
CA’s Private key
Encryption
Signature
Subject Name
Public Key
(Other fields)
Signature
Fran’s X509 certificate
Kiểm tra chứng nhậnKiểm tra chứng nhận
Subject Name
Public Key
(Other fields)
Signature
Signature
Subject Name
Public Key
(Other fields)
Hash digest
Hash digest
Subject Name
Public Key
(Other fields)
Signature
Hash algorithm
CA’s publickey
Fran’s X509 certificate
CA’s X509 certificate
DecryptionFran’s
Cert Info= ?
Chuẩn X.509 (ver. 3.0)Chuẩn X.509 (ver. 3.0)
VersionVersion: Chỉ định phiên bản của chứng : Chỉ định phiên bản của chứng nhận X.509. nhận X.509. Serial NumberSerial Number: Số loạt phát hành được gán : Số loạt phát hành được gán bởi CA. Mỗi CA nên gán một mã số loạt bởi CA. Mỗi CA nên gán một mã số loạt duy nhất cho mỗi giấy chứng nhận mà nó duy nhất cho mỗi giấy chứng nhận mà nó phát hành.phát hành.Signature AlgorithmSignature Algorithm: Thuật toán chữ ký : Thuật toán chữ ký chỉ rõ thuật toán mã hóa được CA sử dụng chỉ rõ thuật toán mã hóa được CA sử dụng để ký giấy chứng nhận. Trong chứng nhận để ký giấy chứng nhận. Trong chứng nhận X.509 thường là sự kết hợp giữa thuật toán X.509 thường là sự kết hợp giữa thuật toán băm (chẳng hạn như MD5) và thuật toán băm (chẳng hạn như MD5) và thuật toán khóa công cộng (chẳng hạn như RSA).khóa công cộng (chẳng hạn như RSA).
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Chuẩn X.509 (ver. 3.0)Chuẩn X.509 (ver. 3.0)
Issuer NameIssuer Name: : Tên tổ chức CA phát hành giấy chứng Tên tổ chức CA phát hành giấy chứng nhậnnhậnTên phân biệt theo chuẩn X.500 (X.500 Tên phân biệt theo chuẩn X.500 (X.500 Distinguised Name – X.500 DN). Distinguised Name – X.500 DN). Hai CA không được sử dụng cùng một Hai CA không được sử dụng cùng một tên phát hành. tên phát hành.
Validity PeriodValidity Period: gồm hai giá trị chỉ định : gồm hai giá trị chỉ định khoảng thời gian mà giấy chứng nhận có khoảng thời gian mà giấy chứng nhận có hiệu lực: not-before và not-after. hiệu lực: not-before và not-after.
Not-beforeNot-before: thời gian chứng nhận bắt : thời gian chứng nhận bắt đầu có hiệu lựcđầu có hiệu lựcNot-afterNot-after: thời gian chứng nhận hết hiệu : thời gian chứng nhận hết hiệu lực. lực. Các giá trị thời gian này được đo theo Các giá trị thời gian này được đo theo chuẩn thời gian Quốc tế, chính xác đến chuẩn thời gian Quốc tế, chính xác đến từng giây.từng giây.
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Chuẩn X.509 (ver. 3.0)Chuẩn X.509 (ver. 3.0)
Issuer Unique IDIssuer Unique ID&&Subject Unique IDSubject Unique ID: :
sử dụng từ X.509 phiên bản 2, sử dụng từ X.509 phiên bản 2,
dùng để xác định hai tổ chức CA hoặc dùng để xác định hai tổ chức CA hoặc hai chủ thể khi chúng có cùng DN. hai chủ thể khi chúng có cùng DN.
RFC 2459 đề nghị không nên sử dụng RFC 2459 đề nghị không nên sử dụng hai trường này.hai trường này.
ExtensionsExtensions: :
Chứa các thông tin bổ sung cần thiết mà Chứa các thông tin bổ sung cần thiết mà người thao tác CA muốn đặt vào chứng người thao tác CA muốn đặt vào chứng nhận. nhận.
Được đưa ra trong X.509 phiên bản 3.Được đưa ra trong X.509 phiên bản 3.
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Chuẩn X.509 (ver. 3.0)Chuẩn X.509 (ver. 3.0)
SignatureSignature: :
chữ ký điện tử được tổ chức CA áp chữ ký điện tử được tổ chức CA áp dụng. dụng.
Tổ chức CA sử dụng khóa bí mật có Tổ chức CA sử dụng khóa bí mật có kiểu quy định trong trường thuật toán kiểu quy định trong trường thuật toán chữ ký. chữ ký.
Chữ ký bao gồm tất cả các phần khác Chữ ký bao gồm tất cả các phần khác trong giấy chứng nhận. trong giấy chứng nhận.
CA chứng nhận cho tất cả các thông tin CA chứng nhận cho tất cả các thông tin khác trong giấy chứng nhận chứ không khác trong giấy chứng nhận chứ không chỉ cho tên chủ thể và khóa công cộng.chỉ cho tên chủ thể và khóa công cộng.
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Certificate Authority SystemCertificate Authority System
Cấp phátchứng nhận
Tạo mới chứng nhận
Hủy chứng nhận
Kiểm tra chứng nhận
Tìm kiếm chứng nhận
CA
Một tổ chức thứ ba đáng tin cậy
Quản lý chữ ký điện tử
Quản lý chứng nhận số
Certificate Authority System CA(S)Certificate Authority System CA(S)
CA trung öông
CA chi nhaùnh CA chi nhaùnh
CA CA CA CA
Ngöôøi söû duïng
Mô hình tập trung
Mô hình phân cấp
Web of Trust
Certificate Authority System CA(S)Certificate Authority System CA(S)
Initialize CA
Khởi tạo CA
Khởi tạo CA root
Khởi tạo CA con
Create Cert
Thông tin người dùng
Cặp khoá
Client Yêu cầu chứng nhận
Chứng nhận
Server
Certificate Authority System – CA(S)Certificate Authority System – CA(S)
Chứng nhận Khóa bí mật
Client
Chứng nhận Chữ ký
Hủy chứng nhận & Cập nhật CRL
Server
Revoke Cert
Version
Signature Algorithm
Issuer Name
This Update
Next Update
CRL Extensions
Signature
Revoked Certificates
Serial Number
Revocation Date
CRL Entry Extensions
Phiên bản 2 theo chuẩn của CRL
Certificate Authority System – CA(S)Certificate Authority System – CA(S)
Chứng nhận
Thông tin cập nhật
Chứng nhận
Chữ ký
Thông tin mới
Chứng nhận được tạo mới
Khoá bí mật
Client Server
Update Cert
Search Cert
Thông tin tìm kiếmDanh sách chứng nhận
tìm thấy
Client Server
Import chứng nhậnTạo chứng nhận cần
import
Certificate Authority System – CA(S)Certificate Authority System – CA(S)
Client yêu cầu kiểm tra Cert5
Tìm thấy Cert5. Kiểm tra thành công
Kiểm tra chứng nhận theo mô hình CA phân cấp
Root
CA1 CA2
Cert5 Cert1 Cert2
Verify Cert
Public-key InfrastructurePublic-key Infrastructure
End Entity
Certificate RequestRevocation Request
CertificateRegistration Authority
Certification AuthorityRepository
Certificate CRL
Certificate RequestRevocation RequestCertificate
Moâ hình PKI cô baûn
Mô hình quản lý khóaMô hình quản lý khóa
Server
Client
KeyDB
Save keys
Retrieve Keys
Get keys
Delete keys
Delete keys
Update keys(Add cert, pic, userID, revoker; update trust…)
Update keys
Key management model
Upload keys
Mô hình quản lý chứng nhậnMô hình quản lý chứng nhận
CAServer
Client
CertificatesDB
Add Certificate
Retrieve Certificates
Get certificates
Delete certificates
Delete certificates
Update certificates
Update certificates
Certificate management model
Certificate Request
Certificate
Search Certificates
Revoke certificates
Revoke certificates
CRL DB
Add revoked certificates
CRL request
Get CRL CRL broadcast
Verify certificate
Verify certificate...
Mô hình chứng thực trong CA phân cấp Mô hình chứng thực trong CA phân cấp
Certificate verification model
Server A
Server B
Publish certificate
Certificate request
ClientVerify certificate
Server C
Verify certificateVerify certificate
Certificate request
Publish certificate
Demo4Demo4
Thông tinPublickey
Privatekey
Tổ chức chứng nhận (CA)
Thông tin Publickey
Tạo chứng nhận
Yêu cầu cấpchứng nhận theo
Chuẩn X.509
Chứng nhận X.509
Tài liệu
Ký&
Mã hóa
Giải mã
&
Xác nhận chữ kýTài liệu
Đáng tin cậy ?
Xác thực chứng nhận
Chứng nhận hợp lệ
& còn giá trị
Ok! Tin tưởng & chấp nhận đề nghị.
Demo5Demo5
Xin cấp chứng nhậnGiao dịch với Ngân hàng
Chứng nhận xác thực ?
Yêu cầu chứng thực
Chứng nhận xác thực
Chứng nhận không tồn tại
Chứng nhận xác thực. OK!
Chấp nhận giao dịch