Chủ đề 7: Chứng nhận khóa công & Tổ chức chứng nhận khóa công

Chủ đề 7: Chứng nhận khóa công & Tổ chức chứng nhận khóa công (Digital Certificate &Certificate Authority) Nội dung Mở đầu Chữ ký điện tử Chứng nhận số Certificate Authority (CA) Mô hình PKI Ứng dụng Demo1 Người gửi: Văn phòng B Người nhận: Ngân hàng A Ngày gửi: 20/ 10 / 2007 Nội dung: .. Rút $5,000,000 Mã tài khoản: NHB-212551245 .... Người gửi: Văn phòng B Người nhận: Ngân hàng A Ngày gửi: 20 / 10 / 2007 Nội dung: .. Rút $5,000,000 Mã tài khoản: NHB-212551245 .... Văn phòng B Ngân hàng A Văn phòng B cần thực hiện giao dịch rút tiền với Ngân hàng A $ 5,000,000 Gửi bằng email Gửi ? ?Khá hàng phải đếntận nơi để giao dịch. OK ! Nhắc lại về Chữ ký điện tử Tạo chữ ký Dữ liệu Hash MessageHash Sign Signature Khoá bí mật Dữ liệu Nhắc lại về Chữ ký điện tử Kiểm tra chữ ký Dữ liệu Hash VerifySignature Khoá công cộng ? Demo2 Người gửi: Văn phòng B Người nhận: Ngân hàng A Ngày gửi: 20 / 10 / 2007 Nội dung: .. Rút $5,000,000 Mã tài khoản: NHB-212551245 .... Người gửi: Văn phòng B Người nhận: Ngân hàng A Ngày gửi: 20 / 10 / 2007 Nội dung: .. Rút $5,000,000 Mã tài khoản: NHB-212551245 .... $ 5,000,000 email Mã hóa & Ký Giải mã & kiểm tra chữ ký Ok! Chấp nhận yêu cầu & gửi tiền Demo3 Dữ liệu bị tấn công trên đường truyền. MIM (Man in Middle) ? .. Rút $5,000,000 Mã tài khoản: NHB-212551245 .... Chuyển khoản $5,000,000 qua tài ả -8888888 Mã tài khoản: NHB-212551245 .... Digital Certificate Chứng nhận điện tử là chứng thực sự sở hữu khóa công khai Chứng nhận điện tử giải quyết được vấn đềMIM Thông tin người sở hữu khóa công khai ti i i Khóa công cộng Chữ ký của tổ chức thứ ba đáng tin cậy t t ti Nội dung chứng nhận Tạo chứng nhận Subject Name Public Key (Other fields) Hash algorithm Hash digest CA’s Private key Encryption Signature Subject Name Public Key (Other fields) Signature Fran’s X509 certificate Kiểm tra chứng nhận Subject Name Public Key (Other fields) Signature Signature Subject Name Public Key (Other fields) Hash digest Hash digest Subject Name Public Key (Other fields) Signature Hash algorithm CA’s public key Fran’s X509 certificate CA’s X509 certificate Decryption Fran’s Cert Info = ? Chuẩn X.509 (ver. 3.0) Version: Chỉ định phiên bản của chứng nhận X.509. Serial Number: Số loạt phát hành được gán bởi CA. Mỗi CA nên gán một mã số loạt duy nhất cho mỗi giấy chứng nhận mà nó phát hành. Signature Algorithm: Thuật toán chữ ký chỉ rõ thuật toán mã hóa được CA sử dụng để ký giấy chứng nhận. Trong chứng nhận X.509 thường là sự kết hợp giữa thuật toán băm (chẳng hạn như MD5) và thuật toán khóa công cộng (chẳng hạn như RSA). Version Serial Number Signature Algorithm Issuer Name Validity Period Subject Name Public Key Issuer Unique ID Subject Unique ID Extensions Signature Chuẩn X.509 (ver. 3.0) Issuer Name: Tên tổ chức CA phát hành giấy chứng nhận Tên phân biệt theo chuẩn X.500 (X.500 Distinguised Name – X.500 DN). Hai CA không được sử dụng cùng một tên phát hành. Validity Period: gồm hai giá trị chỉ định khoảng thời gian mà giấy chứng nhận có hiệu lực: not-before và not-after. Not-before: thời gian chứng nhận bắt đầu có hiệu lực Not-after: thời gian chứng nhận hết hiệu lực. Các giá trị thời gian này được đo theo chuẩn thời gian Quốc tế, chính xác đến từng giây. Version Serial Number Signature Algorithm Issuer Name Validity Period Subject Name Public Key Issuer Unique ID Subject Unique ID Extensions Signature Chuẩn X.509 (ver. 3.0) Issuer Unique ID&Subject Unique ID: sử dụng từ X.509 phiên bản 2, dùng để xác định hai tổ chức CA hoặc hai chủ thể khi chúng có cùng DN. RFC 2459 đề nghị không nên sử dụng hai trường này. Extensions: Chứa các thông tin bổ sung cần thiết mà người thao tác CA muốn đặt vào chứng nhận. Được đưa ra trong X.509 phiên bản 3. Version Serial Number Signature Algorithm Issuer Name Validity Period Subject Name Public Key Issuer Unique ID Subject Unique ID Extensions Signature Chuẩn X.509 (ver. 3.0) Signature: chữ ký điện tử được tổ chức CA áp dụng. Tổ chức CA sử dụng khóa bí mật có kiểu quy định trong trường thuật toán chữ ký. Chữ ký bao gồm tất cả các phần khác trong giấy chứng nhận. Î CA chứng nhận cho tất cả các thông tin khác trong giấy chứng nhận chứ không chỉ cho tên chủ thể và khóa công cộng. Version Serial Number Signature Algorithm Issuer Name Validity Period Subject Name Public Key Issuer Unique ID Subject Unique ID Extensions Signature Certificate Authority System Cấp phát chứng nhận Tạo mới chứng nhận Hủy chứng nhận Kiểm tra chứng nhận Tìm kiếm chứng nhận CA Một tổ chức thứ ba đáng tin cậy Quản lý chữ ký điện tử Quản lý chứng nhận số Certificate Authority System CA(S) CA trung öông CA chi nhaùnh CA chi nhaùnh CA CA CA CA Ngöôøi söû duïng Mô hình tập trung Mô hình phân cấp Web of Trust Certificate Authority System CA(S) Initialize CA Khởi tạo CA Khởi tạo CA root Khởi tạo CA con Create Cert Thông tin người dùng Cặp khoá Client Yêu cầu chứng nhận Chứng nhận Server Certificate Authority System – CA(S) Chứng nhận Khóa bí mật Client Chứng nhận Chữ ký Hủy chứng nhận & Cập nhật CRL Server Revoke Cert Version Signature Algorithm Issuer Name This Update Next Update CRL Extensions Signature Revoked Certificates Serial Number Revocation Date CRL Entry Extensions Phiên bản 2 theo chuẩn của CRL Certificate Authority System – CA(S) Chứng nhận Thông tin cập nhật Chứng nhận Chữ ký Thông tin mới Chứng nhận được tạo mới Khoá bí mật Client Server Update Cert Search Cert Thông tin tìm kiếm Danh sách chứng nhậntìm thấy Client Server Import chứng nhận Tạo chứng nhận cầnimport Certificate Authority System – CA(S) Client yêu cầu kiểm tra Cert5 Tìm thấy Cert5. Kiểm tra thành công Kiểm tra chứng nhận theo mô hình CA phân cấp Root CA1 CA2 Cert5 Cert1 Cert2 Verify Cert Public-key Infrastructure Mô hình quản lý khóa Server Client KeyDB Save keys Retrieve Keys Get keys Delete keys Delete keys Update keys (Add cert, pic, userID, revoker; update trust) Update keys Key management model Upload keys Mô hình quản lý chứng nhận CAServer Client Certificate sDB Add Certificate Retrieve Certificates Get certificates Delete certificates Delete certificates Update certificates Update certificates Certificate management model Certificate Request Certificate Search Certificates Revoke certificates Revoke certificates CRL DB Add revoked certific CRL request Get CRL CRL broadcast Verify certificate Verify certificate... Mô hình chứng thực trong CA phân cấp Demo4 Thông tinPublic key Private key Tổ chức chứng nhận (CA) Thông tin Public key Tạo chứng nhận Yêu cầu cấp chứng nhận theo Chuẩn X.509 Chứng nhận X.509 Tài liệu Ký & Mã hóa Giải mã & Xác nhận chữ kýTài liệu Đáng tin cậy ? Xác thực chứng nhận Chứng nhận hợp lệ & còn giá trị Ok! Tin tưởng & chấp nhận đề nghị. Demo5 Xin cấp chứng nhậnG ao dịch với Ngân hàng Chứng nhận xác thực ? Yêu cầu chứng thực Chứng nhận xác thực Chứng nhận không tồn tại . OK! Chấp nhận giao dịch Demo6 Cần chứng thực giấy chứng nhận t i Private key CA Khóa bí mật bị BẺ ! ? Yêu cầu HỦY chứng nhận Hủy chứng nhận Chứng nhận đã bị HỦY ngày 20/10/2007 3:10:22 Xác thực chứng nhận Chứng nhận đã bị HỦY vào 20/10/2007 3:10:22 Hủy giao dịch