Slide về giao thức chứng thực X.509
Chữ ký điện tử
Chứng nhận điện tử và chứng chỉ X.509 (X.509 v.3)
Các thủ tục xác thực
Certification Authority (CA)
So sánh giữa Keberos và X.509
35 trang |
Chia sẻ: thanhnguyen | Lượt xem: 5777 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Slide về giao thức chứng thực X.509, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Tìm hiểu về giao thức chứng thực X.509 An toàn mạng Nhóm thực hiện: Phan Minh Hải Bùi Thanh Tuấn Lưu Ngọc Tín Nội dung: Chữ ký điện tử Chứng nhận điện tử và chứng chỉ X.509 (X.509 v.3) Các thủ tục xác thực Certification Authority (CA) So sánh giữa Keberos và X.509 Demo1 Người gửi: Văn phòng B Người nhận: Ngân hàng A Ngày gửi: 10/ 9 / 2009 Nội dung: …….. Rút $5,000,000 Mã tài khoản: NHB-212551245 … .... Văn phòng B cần thực hiện giao dịch rút tiền với Ngân hàng A Gửi Gửi ? ? Khách hàng phải đến tận nơi để giao dịch. OK ! I. Chữ ký điện tử Chữ ký điện tử là phương thức để đảm bảo xác thực các tài liệu điện tử (E-mail, File text, bảng tính...). Chuẩn chữ ký điện tử DSS (Digital Signature Standard) là một tiêu chuẩn dựa trên một dạng của phương pháp mã hóa khóa công khai sử dụng thuật toán DSA (Digital Signature Algorithm), được định dạng cho chữ ký điện tử và được chứng thực bởi chính phủ Mỹ. Thuật toán DSA gồm có một khóa riêng (Private Key) chỉ được biết bởi người chủ của tài liệu và một khóa công khai (Public Key) mà bất cứ ai cần nó đều có thể biết. I. Tạo chữ ký điện tử Dữ liệu I. Kiểm tra chữ ký điện tử Demo2 Giải mã & kiểm tra chữ ký Ok! Chấp nhận yêu cầu & gửi tiền Demo3 Dữ liệu bị tấn công trên đường truyền.MIM (Man in Middle) ? …….. Rút $5,000,000 Mã tài khoản: NHB-212551245 … .... …….. Chuyển khoản $5,000,000 qua tài khoản NHB-8888888 Mã tài khoản: NHB-212551245 … .... II. Digital Certificate Chứng nhận điện tử là chứng thực sự sở hữu khóa công khai Chứng nhận điện tử giải quyết được vấn đề MIM Thông tin người sở hữu khóa công khai Khóa công cộng Chữ ký của tổ chức thứ ba đáng tin cậy Nội dung chứng nhận II. Tạo chứng nhận Hash algorithm Hash digest Encryption Signature Signature Fran’s X509 certificate II. Kiểm tra chứng nhận Signature Signature Hash digest Hash digest Signature Hash algorithm Fran’s X509 certificate CA’s X509 certificate Decryption Fran’s Cert Info II. Dịch vụ xác thực X.509 X.509 Authentication Service Dịch vụ xác thực X.509 là định dạng chứng chỉ được sử dụng phổ biến nhất và được hầu hết các nhà cung cấp sản phầm PKI triển khai. Chứng chỉ khóa công khai X.509 được Hội viễn thông quốc tế (ITU) đưa ra lần đầu tiên vào năm 1998 như là một bộ phận của dịch vụ thư mục X.500 Chứng chỉ gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trường phụ, những trường phụ này được gọi là trường mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống. II. Các chứng nhận X.509 Được phát hành bởi chủ quyền chứng nhận (Certification Authority – CA) bao gồm: Các phiên bản 1,2 hoặc 3 Số loạt phát hành do CA chứng nhận. Thuật toán xác định chữ ký Xuất bản tên X.500 (CA) Chu kỳ hiệu lực (từ-đến ngày) Đối tượng của tên X.500 (tên của người sở hữu) Đối tượng thông tin khoá công khai (thuật toán, các tham số,khoá) Định danh duy nhất xuất bản (phiên bản 2+) Định danh duy nhất đối tượng (phiên bản 2+) Các trường mở rộng (phiên bản 3) Chữ ký (hoặc hash của các trường trong chứng nhận) II. X.509 Certificates II. Chuẩn X.509 (ver. 3.0) Version: Xác định số phiên bản của chứng nhận X.509. Serial Number: Số loạt phát hành được gán bởi CA. Mỗi CA nên gán một mã số loạt duy nhất cho mỗi giấy chứng nhận mà nó phát hành. Signature Algorithm: Thuật toán chữ ký chỉ rõ thuật toán mã hóa được CA sử dụng để ký giấy chứng nhận. Trong chứng nhận X.509 thường là sự kết hợp giữa thuật toán băm (chẳng hạn như MD5) và thuật toán khóa công cộng (chẳng hạn như RSA). II. Chuẩn X.509 (ver. 3.0) Issuer Name: Tên tổ chức CA cấp và ký chứng chỉ. Validity Period: gồm hai giá trị chỉ định khoảng thời gian mà giấy chứng nhận có hiệu lực: not-before và not-after. Not-before: thời gian chứng nhận bắt đầu có hiệu lực Not-after: thời gian chứng nhận hết hiệu lực. Các giá trị thời gian này được đo theo chuẩn thời gian Quốc tế, chính xác đến từng giây. II. Chuẩn X.509 (ver. 3.0) Subject Name: Xác định thực thể mà khóa công khai của thực thể này được xác nhận. Tên của Subject phải duy nhất đối với mỗi thực thể CA xác nhận. Public Key: chứa khóa công khai và những tham số liên quan; xác định thuật toán (RSA hay DSA) được sử dụng cùng với khóa. II. Chuẩn X.509 (ver. 3.0) Issuer Unique ID: là trường không bắt buộc, trường này cho phép sử dụng lại tên người cấp. Trường này hiếm được sử dụng trong triển khai thực tế. Subject Unique ID: là trường tùy chọn cho phép sử dụng lại tên của subject khi quá hạn. Trường này cũng ít được sử dụng. Entensions: chỉ có trong chứng nhận v.3. II. Chuẩn X.509 (ver. 3.0) Signature: chữ ký điện tử được tổ chức CA áp dụng. Tổ chức CA sử dụng khóa bí mật có kiểu quy định trong trường thuật toán chữ ký. Chữ ký bao gồm tất cả các phần khác trong giấy chứng nhận. CA chứng nhận cho tất cả các thông tin khác trong giấy chứng nhận chứ không chỉ cho tên chủ thể và khóa công cộng. II. Các mở rộng xác thực Certificate Extensions Authority Key Identifier Subject Key Identifier Key Usage Extended Key Usage CRL Distribution Point Private Key Usage Period Certificate Policies Policy Mappings Subject Alternative Name Issuer Alternative Name Subject Directory Attributes Basic Constraints Field Path Length Constraint Name Constrainsts Policy Constraints III. Các thủ tục xác thực Authentication Procedures X.509 bao gồm ba thủ tục xác thực tùy chọn Xác thực một chiều Xác thực hai chiều Xác thực ba chiều Mọi thủ tục trên đều sử dụng các chữ ký khoá công khai III. Xác thực một chiều One-Way Authentication Một chiều A->B được sử dụng để thiết lập Danh tính của A và rằng mẩu tin là từ A Mẩu tin được gửi cho B Tính toàn vẹn và gốc gác của mẩu tin III. Xác thực hai chiều Two-Way Authentication Hai mẩu tin A->B và B->A được thiết lập bao gồm: Ngoài mẩu tin từ A->B còn có: Danh tính của B và trả lời từ B Trả lời này dành cho A Tính toàn vẹn và gốc gác của trả lời III. Xác thực ba chiều Three-Way Authentication Ba mẩu tin A->B, B->A và A->B được thiết lập như trên mà không có đồng hồ đồng bộ: Được trả lời lại từ A đến B chứa bản sao nonce của trả lời từ B Nghĩa là các nhãn thời gian không cần kiểm tra hoặc dựa trên đó IV. Certificate Authority System Cấp phát chứng nhận Tạo mới chứng nhận Hủy chứng nhận Kiểm tra chứng nhận Tìm kiếm chứng nhận Một tổ chức thứ ba đáng tin cậy Quản lý chữ ký điện tử Quản lý chứng nhận số IV. Certificate Authority System CA(S) Mô hình tập trung Mô hình phân cấp Web of Trust IV. Certificate Authority System CA(S) Initialize CA Khởi tạo CA Khởi tạo CA root Khởi tạo CA con Create Cert Thông tin người dùng Cặp khoá Yêu cầu chứng nhận Chứng nhận IV. Certificate Authority System – CA(S) Chứng nhận Khóa bí mật Chứng nhận Chữ ký Hủy chứng nhận & Cập nhật CRL Revoke Cert Phiên bản 2 theo chuẩn của CRL IV. Certificate Authority System – CA(S) Chứng nhận Thông tin cập nhật Chứng nhận Chữ ký Thông tin mới Chứng nhận được tạo mới Khoá bí mật Update Cert Search Cert Thông tin tìm kiếm Danh sách chứng nhận tìm thấy Client Server Import chứng nhận Tạo chứng nhận cần import IV. Certificate Authority System – CA(S) Client yêu cầu kiểm tra Cert5 Tìm thấy Cert5. Kiểm tra thành công Kiểm tra chứng nhận theo mô hình CA phân cấp Root CA1 CA2 Cert5 Cert1 Cert2 Verify Cert Demo4 Tổ chức chứng nhận (CA) Tạo chứng nhận Yêu cầu cấp chứng nhận theo Chuẩn X.509 Chứng nhận X.509 Ký & Mã hóa Đáng tin cậy ? Xác thực chứng nhận Chứng nhận hợp lệ & còn giá trị Ok! Tin tưởng & chấp nhận đề nghị. Demo5 Xin cấp chứng nhận Giao dịch với Ngân hàng Chứng nhận xác thực ? Chứng nhận xác thực. OK! Chấp nhận giao dịch Demo6 Cần chứng thực giấy chứng nhận CA Khóa bí mật bị BẺ ! ? Yêu cầu HỦY chứng nhận Hủy chứng nhận Chứng nhận đã bị HỦY ngày 10/9/2009 3:10:22 Xác thực chứng nhận Chứng nhận đã bị HỦY vào 1/8/2003 3:10:22 Hủy giao dịch V. Sự khác nhau giữa keberos với x.509 Giống nhau: Đều là hỗ trợ xác thực và chữ kí số ở mức ứng dụng Khác nhau: *** Keberos: - Dựa trên mã hóa đối xứng (chia sẻ với máy chủ bằng 1 khóa chung) - Được sử dụng trong các thẻ thông minh - Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa khóa phiên dùng cho phiên giao dịch đó - Chỉ được xác thực 1 chiều *** X.509: - Dựa trên mã hóa công khai - Được sử dụng trong các Email - Xác thực ở 1,2,3 chiều
Các file đính kèm theo tài liệu này:
- Slide về giao thức chứng thực X509 cực hiếm.ppt