Chủ đề 7: Chứng nhận khóa công & Tổ chức chứng nhận khóa công
Chuẩn X.509 (ver. 3.0)
Signature:
chữ ký điện tử được tổ chức CA áp dụng.
Tổ chức CA sử dụng khóa bí mật có kiểu quy định trong trường thuật toán chữ ký.
Chữ ký bao gồm tất cả các phần khác trong giấy chứng nhận.
-> CA chứng nhận cho tất cả các thông tin khác trong giấy chứng nhận chứ không
chỉ cho tên chủ thể và khóa công cộng.
27 trang |
Chia sẻ: vutrong32 | Lượt xem: 952 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Chủ đề 7: Chứng nhận khóa công & Tổ chức chứng nhận khóa công, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Chủ đề 7:
Chứng nhận khóa công &
Tổ chức chứng nhận khóa công
(Digital Certificate &Certificate Authority)
Nội dung
Mở đầu
Chữ ký điện tử
Chứng nhận số
Certificate Authority (CA)
Mô hình PKI
Ứng dụng
Demo1
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 20/ 10 / 2007
Nội dung:
..
Rút $5,000,000
Mã tài khoản: NHB-212551245
....
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 20 / 10 / 2007
Nội dung:
..
Rút $5,000,000
Mã tài khoản: NHB-212551245
....
Văn phòng B Ngân hàng A
Văn phòng B cần thực hiện giao dịch rút tiền với Ngân hàng A
$ 5,000,000
Gửi bằng email
Gửi
?
?Khá hàng phải đếntận nơi để giao dịch.
OK !
Nhắc lại về Chữ ký điện tử
Tạo chữ ký
Dữ liệu
Hash MessageHash Sign Signature
Khoá bí mật
Dữ liệu
Nhắc lại về Chữ ký điện tử
Kiểm tra chữ ký
Dữ liệu
Hash
VerifySignature
Khoá công cộng
?
Demo2
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 20 / 10 / 2007
Nội dung:
..
Rút $5,000,000
Mã tài khoản: NHB-212551245
....
Người gửi: Văn phòng B
Người nhận: Ngân hàng A
Ngày gửi: 20 / 10 / 2007
Nội dung:
..
Rút $5,000,000
Mã tài khoản: NHB-212551245
....
$ 5,000,000
email Mã hóa & Ký
Giải mã & kiểm tra chữ ký
Ok! Chấp nhận yêu
cầu & gửi tiền
Demo3
Dữ liệu bị tấn công trên đường truyền.
MIM (Man in Middle) ?
..
Rút $5,000,000
Mã tài khoản: NHB-212551245
....
Chuyển khoản $5,000,000
qua tài ả -8888888
Mã tài khoản: NHB-212551245
....
Digital Certificate
Chứng nhận điện tử là chứng thực sự sở hữu khóa
công khai
Chứng nhận điện tử giải quyết được vấn đềMIM
Thông tin người sở hữu
khóa công khai
ti i
i
Khóa công cộng
Chữ ký của tổ chức
thứ ba đáng tin cậy
t
t ti
Nội dung chứng nhận
Tạo chứng nhận
Subject Name
Public Key
(Other fields)
Hash
algorithm
Hash digest
CA’s
Private key
Encryption
Signature
Subject Name
Public Key
(Other fields)
Signature
Fran’s X509
certificate
Kiểm tra chứng nhận
Subject Name
Public Key
(Other fields)
Signature
Signature
Subject Name
Public Key
(Other fields)
Hash digest
Hash digest
Subject Name
Public Key
(Other fields)
Signature
Hash
algorithm
CA’s public
key
Fran’s X509
certificate
CA’s X509
certificate
Decryption
Fran’s
Cert Info
= ?
Chuẩn X.509 (ver. 3.0)
Version: Chỉ định phiên bản của chứng
nhận X.509.
Serial Number: Số loạt phát hành được gán
bởi CA. Mỗi CA nên gán một mã số loạt
duy nhất cho mỗi giấy chứng nhận mà nó
phát hành.
Signature Algorithm: Thuật toán chữ ký
chỉ rõ thuật toán mã hóa được CA sử dụng
để ký giấy chứng nhận. Trong chứng nhận
X.509 thường là sự kết hợp giữa thuật toán
băm (chẳng hạn như MD5) và thuật toán
khóa công cộng (chẳng hạn như RSA).
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Chuẩn X.509 (ver. 3.0)
Issuer Name:
Tên tổ chức CA phát hành giấy chứng
nhận
Tên phân biệt theo chuẩn X.500 (X.500
Distinguised Name – X.500 DN).
Hai CA không được sử dụng cùng một
tên phát hành.
Validity Period: gồm hai giá trị chỉ định
khoảng thời gian mà giấy chứng nhận có
hiệu lực: not-before và not-after.
Not-before: thời gian chứng nhận bắt
đầu có hiệu lực
Not-after: thời gian chứng nhận hết hiệu
lực.
Các giá trị thời gian này được đo theo
chuẩn thời gian Quốc tế, chính xác đến
từng giây.
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Chuẩn X.509 (ver. 3.0)
Issuer Unique ID&Subject Unique ID:
sử dụng từ X.509 phiên bản 2,
dùng để xác định hai tổ chức CA hoặc
hai chủ thể khi chúng có cùng DN.
RFC 2459 đề nghị không nên sử dụng
hai trường này.
Extensions:
Chứa các thông tin bổ sung cần thiết mà
người thao tác CA muốn đặt vào chứng
nhận.
Được đưa ra trong X.509 phiên bản 3.
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Chuẩn X.509 (ver. 3.0)
Signature:
chữ ký điện tử được tổ chức CA áp
dụng.
Tổ chức CA sử dụng khóa bí mật có
kiểu quy định trong trường thuật toán
chữ ký.
Chữ ký bao gồm tất cả các phần khác
trong giấy chứng nhận.
Î CA chứng nhận cho tất cả các thông tin
khác trong giấy chứng nhận chứ không
chỉ cho tên chủ thể và khóa công cộng.
Version
Serial Number
Signature Algorithm
Issuer Name
Validity Period
Subject Name
Public Key
Issuer Unique ID
Subject Unique ID
Extensions
Signature
Certificate Authority System
Cấp phát
chứng nhận
Tạo mới
chứng nhận
Hủy
chứng nhận
Kiểm tra
chứng nhận
Tìm kiếm
chứng nhận
CA
Một tổ chức thứ ba đáng tin cậy
Quản lý chữ ký điện tử
Quản lý chứng nhận số
Certificate Authority System CA(S)
CA trung öông
CA chi nhaùnh CA chi nhaùnh
CA CA CA CA
Ngöôøi söû duïng
Mô hình tập trung
Mô hình phân cấp
Web of Trust
Certificate Authority System CA(S)
Initialize CA
Khởi tạo CA
Khởi tạo CA root
Khởi tạo CA con
Create Cert
Thông tin người dùng
Cặp khoá
Client Yêu cầu
chứng nhận
Chứng nhận
Server
Certificate Authority System – CA(S)
Chứng nhận Khóa bí mật
Client
Chứng nhận Chữ ký
Hủy chứng nhận & Cập nhật CRL
Server
Revoke Cert
Version
Signature Algorithm
Issuer Name
This Update
Next Update
CRL Extensions
Signature
Revoked Certificates
Serial Number
Revocation Date
CRL Entry Extensions
Phiên bản 2 theo chuẩn của CRL
Certificate Authority System – CA(S)
Chứng nhận
Thông tin cập nhật
Chứng nhận
Chữ ký
Thông tin mới
Chứng nhận được
tạo mới
Khoá bí mật
Client Server
Update Cert
Search Cert
Thông tin tìm kiếm Danh sách chứng nhậntìm thấy
Client Server
Import chứng nhận Tạo chứng nhận cầnimport
Certificate Authority System – CA(S)
Client yêu
cầu kiểm
tra Cert5
Tìm thấy Cert5.
Kiểm tra thành công
Kiểm tra chứng nhận theo mô hình CA phân cấp
Root
CA1 CA2
Cert5 Cert1 Cert2
Verify Cert
Public-key Infrastructure
Mô hình quản lý khóa
Server
Client
KeyDB
Save keys
Retrieve Keys
Get keys
Delete keys
Delete keys
Update keys
(Add cert, pic, userID, revoker; update trust)
Update keys
Key management model
Upload keys
Mô hình quản lý chứng nhận
CAServer
Client
Certificate
sDB
Add Certificate
Retrieve Certificates
Get certificates
Delete certificates
Delete certificates
Update certificates
Update certificates
Certificate management
model
Certificate Request
Certificate
Search Certificates
Revoke certificates
Revoke certificates
CRL DB
Add revoked certific
CRL request
Get CRL
CRL broadcast
Verify certificate
Verify certificate...
Mô hình chứng thực trong CA phân cấp
Demo4
Thông tinPublic
key
Private
key
Tổ chức chứng nhận (CA)
Thông tin Public
key
Tạo chứng nhận
Yêu cầu cấp
chứng nhận theo
Chuẩn X.509
Chứng nhận
X.509
Tài liệu
Ký
&
Mã hóa
Giải mã
&
Xác nhận chữ kýTài liệu
Đáng tin cậy ?
Xác thực chứng nhận
Chứng nhận
hợp lệ
& còn giá trị
Ok! Tin tưởng & chấp
nhận đề nghị.
Demo5
Xin cấp chứng nhậnG ao dịch với
Ngân hàng
Chứng nhận
xác thực ?
Yêu cầu chứng thực
Chứng nhận xác thực
Chứng nhận không tồn tại
. OK!
Chấp nhận giao dịch
Demo6
Cần chứng thực
giấy chứng nhận
t
i
Private
key
CA
Khóa bí mật bị
BẺ !
?
Yêu cầu HỦY chứng nhận
Hủy chứng nhận
Chứng nhận đã bị HỦY ngày 20/10/2007 3:10:22
Xác thực
chứng nhận
Chứng nhận đã bị HỦY
vào 20/10/2007 3:10:22
Hủy
giao dịch
Các file đính kèm theo tài liệu này:
- 07a_certificateauthority_5155.pdf