Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.05 MB, 37 trang )
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 16: Khai báo các thông tin cơ bản.
Hình 17: Khai báo chi tiết chứng chỉ.
Lựa chọn chứng chỉ theo mẫu User. Mức độ bảo mật, chế độ sinh khóa ...
Nhóm nghiên cứu khoa học
31
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 18: Khai báo mã PIN.
Chọn lược đồ ký, độ mạnh của khóa và đặt mã PIN. Mã PIN rất quan trọng, mỗi
chứng chỉ có 1 mã PIN duy nhất.
Hình 19: Thỏa thuận người dùng.
Nhóm nghiên cứu khoa học
32
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 20: Tạo yêu cầu.
Sau khi tạo xong yêu cầu, chúng ta phải vào mục Issue the certificate để chấp
thuận yêu cầu trên. Trong đây chúng ta có thể sửa lại yêu cầu, tạo chứng chỉ hoặc xóa bỏ
yêu cầu này.
Hình 21: Ký chứng chỉ.
Nhóm nghiên cứu khoa học
33
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 22: Chứng chỉ của người dùng.
Sau khi đã Issue certificate chúng ta có thể lấy chứng chỉ về máy bằng cách chọn
mục Handle the certificate. Tại đây chúng ta có thể thấy chứng chỉ được cấp cho người
dùng có serial number là 53:CF:7A:A8:D6:E7:1E:42:3D:01( chứng chỉ được lưu trong
hệ thống tại /opt/OpenCA/var/openca/crypto/certs/53cf7aa8d6e71e423d01.pem).
Chọn More info để xem chi tiết thông tin về chứng chỉ và lấy chứng chỉ về máy
người dùng.
Nhóm nghiên cứu khoa học
34
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Hình 23: Download chứng chỉ về máy.
2. SubCA
Quá trình cài đặt SubCA tương tự như cài đặt RootCA.
Chúng ta cũng phải tạo khóa bí mật cho SubCA. Khởi tạo 1 yêu cầu cấp phát
chứng chỉ. Yêu cầu này sẽ được gửi cho RootCA để RootCA ký và chứng thực đây là 1
sub CA. Chứng chỉ sau khi được ký xong sẽ gửi trả lại cho SubCA.
3.RA
Quá trình cài đặt RA cũng tương tự như RootCA và SubCA. Có điểm khác là khi
cài đặt gói openca-base chúng ta chọn chế độ cài đặt là install-online.
Sau khi cài đặt xong RA. Người dùng sẽ đăng ký cấp chứng thư trực tiếp trên RA,
sau đó các yêu cầu cấp chứng thư sẽ được gửi đến cho SubCA để SubCA ký. Các chứng
thư sau khi được SubCA ký xong sẽ được gửi trả lại cho RA để người dùng lấy về, đồng
thời các chứng thư này cũng sẽ được công bố trên hệ thống kho lưu trữ (repositories)
Nhóm nghiên cứu khoa học
35
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Chương IV: Đánh giá và định hướng phát triển
Trong thời gian thực hiện đề tài, nhóm chúng em đã nghiên cứu và tìm hiểu về hệ
thống PKI dựa trên nền tảng mã nguồn mở OpenCA và thu được một số kết quả sau:
Về lý thuyết nhóm nghiên cứu đã tìm hiểu và nắm vững được các vấn đề sau
• Mật mã hóa khóa công khai
• Chữ ký số
• Các kiến thức cơ bản về cơ sở hạ tầng khóa công khai - PKI (một mô hình
được sử dụng rất nhiều cho việc truyền thông qua mạng Internet như gửi thư
an toàn, chứng thực web an toàn, … )
Về mặt thực nghiệm: nhóm đã thực hiện được các kết quả sau
• Xây dựng hệ thống PKI với OpenCA.
• Thử nghiệm xin cấp phát chứng thư và cấp phát chứng thư.
• Lưu trữ chứng thư trên kho lưu trữ repositories.
Do giới hạn về thời gian, cơ sở vật chất. Bên cạnh những mặt đạt được như trên
thì nhóm vẫn còn một số mặt hạn chế:
• Mô hình nhỏ chỉ phục vụ cho việc nghiên cứu, có khả năng đáp ứng cho doanh
nghiệp vừa và nhỏ.
• Chưa nghiên cứu được việc ứng dụng trong thẻ token, smart card, …
Hướng phát triển: Xây dựng hệ thống PKI kết hợp với các giải pháp an ninh
khác để đảm bảo an toàn và cung cấp môi trường truyền thông an toàn trong hệ thống
mạng cục bộ, mạng doanh nghiệp.
Nhóm nghiên cứu khoa học
36
Học viện Kỹ Thuật Mật Mã
Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.
Kết luận
Việc nghiên cứu và xây dựng hệ thống PKI dựa trên nền tảng mã nguồn mở
OpenCA là một vấn đề còn mới mẻ và luôn cần được hoàn thiện. Dự án OpenCA vẫn
đang được hoàn thiện với bộ thư viện libpki mới.
Hiện nay, việc áp dụng mật mã hóa khóa công khai và dịch vụ chứng thực điện tử
để đảm bảo an toàn thông tin trong các hoạt động giao dịch điện tử là giải pháp được
nhiều quốc gia trên thế giới sử dụng. Ở Việt Nam, tình hình triển khai cơ sở hạ tầng
khóa công khai (PKI) và chứng thực điện tử (CA) được đánh giá là đã đi đúng hướng và
bài bản, nhưng tiến độ vẫn còn chậm. Thực tế ở Việt Nam việc triển khai dịch vụ chứng
thực điện tử mới chỉ ở một số cơ quan nhà nước, cơ quan thuộc chính phủ. Còn các
doanh nghiệp cũng có sử dụng chứng thực điện tử nhưng còn ít và đều là mua của các tổ
chức cung cấp. Việc triển khai các dịch vụ cung cấp chứng thực điện tử yêu cầu một sự
đầu tư lâu dài và nghiêm túc mới mang lại kết quả như mong muốn. Phần khó khăn nhất
trong triển khai dịch vụ này là ở khâu tổ chức thực hiện và thay đổi nhận thức của con
người. Tính pháp lý của chữ ký số và dịch vụ chứng thực điện tử cũng là một vấn đề
đang được đặt ra. Hiện nay, ở Việt Nam đã ban hành một số các điều luật trong lĩnh vực
này như Luật công nghệ thông tin ban hành ngày 29/6/2006, Luật giao dịch điện tử ban
hành ngày 29/11/2005, Luật nội dung chữ ký số ban hành ngày 15/2/2007...Các tổ chức,
cá nhân cung cấp và sử dụng dịch vụ chứng thực điện tử cần phải được quản lý, đồng
thời có quyền , nghĩa vụ nhất định.
Ngoài ra nếu một cơ sở hạ tầng có công nghệ yếu thì sẽ không có sự tin tưởng và
nhà cung cấp dịch vụ và những e ngại về tâm lý của người dùng này cũng là các trở ngại
trong việc triển khai cơ sở hạ tầng an ninh rộng khắp.
Với OpenCA - một dự án mã nguồn mở, thì chi phí xây dựng hậ tầng khóa công
khai và chứng thực điện tử cho doanh nghiệp là rất thấp, dễ dàng triển khai. Tuy nhiên,
nếu nhiều doanh nghiệp cùng triển khai sẽ dần đến khó quản lý, không nhất quán giữa
các doanh nghiệp, do đó cần có một tổ chức cấp cao hơn sẽ quản lý các doanh nghiệp
này và xây dựng hệ thống chức thực chéo giữa các doanh nghiệp để đảm bảo sự tín
nhiệm giữa các doanh nghiệp.
Nhóm nghiên cứu khoa học
37
Học viện Kỹ Thuật Mật Mã