Tweet
[Help] Cần giúp đỡ về đề tài tốt nghiệp Mã hóa và chứng thực Window 2003
Mong các bạn giúp đỡ
Về nội dung , khi làm xong phần nào mình sẽ update lên sau
1. Tên đề tài : Tìm hiểu về các phương pháp mã hóa và chứng thực trên Window Server 2003
I. PHẦN MỞ ĐẦU
1. Lý do và mục đích chọn đề tài
2. Nội dung đề tài
3. Phương pháp nghiên cứu
4. Cấu trúc đề tài
II. Cơ sở lý thuyết
1. Bảo mật - Mã hóa dữ liệu
1.1 Symmetric Key Cryptography – SKC
( Phương pháp Mã hóa Đối xứng )
Phương pháp Mã hóa Đối xứng đã được biết đến và sử dụng từ rất lâu .
Sử dụng cùng một Mã khóa (Key code) cho việc mã hóa (Encryption) và Giải mã (Decryption). Việc mã hóa được thực hiện rất nhanh chóng dẫn đến khó bảo quản khi sử dụng nhiều Key Code.
Các thuật toán thường sử dụng :
DES (Data Encryption Standard), AES (Advanced Encryption Standard), 3DES (Triple DES )
Ví dụ :
SKC với nguyên tắc dời vị trí
Nội dung gốc : “Hello everybody”
Mã hóa : dời nội dung sang phải – Keycode =1
à “Lfmmp fxfsacpea”
Giải mã : dời nội dung sang trái – Keycode =1
à “Hello everybody
1.2 Public Key Infrastructure – PKI
( Phương pháp Mã hóa Công Khai )
1.2.1 Tổng quan về PKI
Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số ) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng thực khóa công khai – hay Public Key Infrastructure.
Khái niệm hạ tầng công khai (PKI) thường được dùng để chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toàn mã hóa công khai trong trao đổi thông tin .
1.2.2 Các thành phần của PKI
Một hệ thống PKI gồm 4 thành phần sau :
+ Certification Authorities (CA) : Cấp và thu hồi chứng chỉ
+ Registration Authorities (RA) : Gằn kết giữa kháo công khai và định danh của người giữ chứng chỉ
+ Clients : Người sử dụng chứng chỉ PKI hay theo cách khác được xác định như những thực thể cuối
Người sử dụng cuối hoặc hệ thống là chủ thể của chứng chỉ PKI
+ Repository : Hệ thống ( có thể phân tán ) lưu trữ chứng chỉ và danh sách các chứng chỉ bị thu hồi .
Cung cấp cơ chế phân phối chứng chỉ và CRLs đến các thực thể cuối . Các thành phần PKI và các mối quan hệ giữa chứng chỉ được chỉ ra như trong hình 2.1 . Đây là mô hình kiến trúc do PKIX đua ra
Hình 2.1
1.2.2.1 Tổ chức chứng thực ( Certification Authority)
+ Trong hạ tằng cơ sở công khai , chứng chỉ có vai trò gắn kết giữa định danh với khóa công. Sự gắn kết này thể hiện trong dạng cấu trúc dữ liệu được ký số , được đề cập đến như chứng chỉ đã được thảo luận ở phần trước . Một Certificate Authority (CA) là một thục thể PKI có trách nhiệm cấp chứng chỉ cho các thực thể trong hệ thống .
+ Tổ chức chứng thực – CA cũng được gọi là bên thứ ba được tin tưởng vì người sử dụng cuối tin tưởng vào chữ ký số CA trên chứng chỉ trong khi thực hiện những hoạt động mã hóa công khai cần thiết . Tổ chức cung cấp dịch vụ chứng thực – Certification Service Provider (CSP) là một thuật ngữ khác nhắc đền CA được sử dụng trong bài báo cáo.
+Thông thường CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ cho các CA khác và cho thực thể cuối ( người giữ chứng chỉ ) trong hệ thống. Nếu CA nằm ở đỉnh của mô hình phân cấp PKI và chi cấp chứng chỉ cho những CA ở mức thấp hơn thì chứng chỉ này được gọi là chứng chỉ gốc “root certificate”.
1.2.2.2 Trung tâm đăng ký ( Registration Authorities)
+Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là “registration authority” – trung tam đăng ký. Ví dụ khi số lượng thực thể cuồi trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Để giải quyết vấn đề này cần thiết phải có một hoặc nhiều RAs ( trung tâm đăng ký địa phương )
+Mục đích chính của RA là để giảm tải công việc của CA. Chức năng thực hiện của một RA cụ thể sẽ khác nhau tùy theo nhu cầu truển khai PKI nhưng chu yếu bao gồm những chức năng sau :
+ Xác thực cá nhân chủ thể đăng ký chứng chỉ.
+ Kiểm tra tính hợp lệ của thông in do chủ thể cung cấp.
+ Xác nhận quyền của chủ thể đối với những thuộc tính chứng chỉ được yêu càu.
+ Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký hay không – điều này thường được đề cập đến như sự chứng minh sở hữu (proof of possession – POP).
+ Tạo cặp kháo bí mật / công khai.
+ Phân phối bí mật được chỉa sẻ đền thực thể cuối khởi tạo quá trình đăng ký với CA.
+ Lưu trữ khóa riêng.
+ Khởi sinh quá trình khôi phục khóa.
+ Phân phối thẻ bài vật lý (ví dụ như thẻ thông minh) chứa khóa riêng.
1.2.2.3 Thực thể cuối (Người giữ chứng chỉ và Clients)
+ Thực thể cuối trong PKI có thể là con người, thiết bị, và thậm chí là một chương trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ thực hiện những chức năng mật mã (mã hóa , giải mã và ký số)
1.2.2.4 Hệ thống lưu trữ (Repositories)
- Chứng chỉ (khóa công) và thông tin thu hồi chứng chỉ phải được phân phối sao cho những người cần đến chứng chỉ đều có thể truy cập và lấy được.
- Có 2 phương pháp phân phối chứng chỉ :
+ Phân phối cá nhân :
Là cách phân phối cở bản nhất. Trong phương pháp này sẽ trực tiếp đưa chứng chi của họ cho người dng2 khác nhau. Chuyển giao bằng tay chứng chỉ được lưu trong đĩa cứng hoặc trong một số các môi trường lưu trữ khác. Cũng có thể phân phối bằng cách gằn chứng chỉ trong email để gửi cho người khác.
Cách này thực hiện tốt trong môi nột nhóm ít người dùng nhưng khi số lượng tăng người tăng lên thì có thể xảy ra vấn đề quan lí.
+ Phân phối công khai
Một phương pháp khác phổ biến hơn để phân phối chứng chỉ ( và thông tin thu hồi chứng chỉ) là công bố các chứng chỉ rộng rãi, các chứng chỉ này có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu.
Dưới đây là ví dụ về một số hệ thống lưu trữ:
- X.500 Directory Access Protocol (DSAs)
- Lightweight Directory Access Protocol (LDAP) Server
- Domain name System (DNS) và Web Servers
- File Transfer Protocol (FTP) Servers và Corporate Databases
1.2.3 Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau. Nhưng nhìn chung có hai chức năng chình là: chứng thực và kiểm tra.
+ Chứng thực ( Certification) : là chức năng quan trong nhất của hệ thống PKI. Đây là quá trình ràng buộc khóa công khai với định danh của thực thể. CA là thực thể PKI thực hiện chứng năng, chứng thực. Có hai phương pháp chứng thực:
- Tồ chức chứng thực (CA) tạo ra cặp khóa công khai / khóa bí mật và tạo ra chứng chỉ cho phần công khóa công của cặp khóa.
- Người sử dụng tư tạo cặp khóa và đưa khóa công cho CA để CA tạo chứng chỉ khóa công đó. Chứng chi đảm bảo tính toan vẹn của khóa công khai và các thông tin gắn cùng.
+ Thẩm tra ( validation) : quá trình các định liệu chứng chỉ đã đưa ra có thể được sử dụng đúng mục đích thích hợp hay không được xem như là quá trình kiểm tra tính hiệu lực của chứng chỉ. Úa trình này bao gồm một sau bước sau:
- Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lện chứng chỉ hay không (xử lý theo đường dẫn chứng chỉ).
- Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.
- Xác định xem chứng chỉ còn ở trong thời gian có hiệu lực hay không.
- Xác định xem chứng chỉ đã bị thu hồi hay chưa.
-Xác định xem chứng chỉ đang được sử dụng đúng mục đích, chính sách giới hạn hay không (bằng cách kiểm tra những trường mở rộng cụ thể như mở rộng chính sách chứng chỉ hay mở rộng việc sử dụng khóa công khai).
2. Tìm hiểu giao thức SSL/TLS –Hoạt động, tấn công và phòng chống.
2.1 Tổng quan về giao thức SSL/TLS
2.1.1 SSL/TLS là gì ?
- Secure Sockets Layer (SSL), Transport Layer Security (TLS) là hai giao thức nổi bật để cung cấp dịch vụ bảo mật cho lưu lượng dữ liệutrên kênh truyền.
- Lợi ích khi dùng SSL/TLS :
+ Strong authentication, message privacy, and integrity.
+ Interoperability
+ Algorithm flexibility
+ Ease of deployment
+ Ease of use
2.2.2 Lịch sử ra đời SSL/TLS
- SSL được phát triển bởi Netscape Communications Corporationvào năm 1994để đảm bảo các giao dịch trên World Wide Web.
- Đến nay đã có 3 phiên bản SSL:
+ SSL 1.0: Được sử dụng nội bộ chỉ bởi Netscape Communications. Nó chứa một số khiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài
+ SSL 2.0: Ra đời cùng lúc Microsoft giới thiệu giao thức PCT (Private Communication Technology) , nhằm cạnh tranh trong lần tung ra Internet Explorer đầu tiênvào năm 1996.
+ SLL 3.0: Netscape Communications đã phản ứng lại sự thách thức PCT của Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng mới. Vào thời điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiên bản phần mềm dựa vào TCP/IP của nó (mặc dù phiên bản riêng của nó vẫn hỗ trợ PCT cho sự tương thích ngược).
Ngay sau đó, IETF (Internet Engineering Task Force)đã bắt đầu làm việc để phát triển một giao thức chuẩn để cung cấp các chức năng tương tự -> TLS ra đời.
TLS 1.0 được IETF phát triển dựa trên SSL 3.0. TLS được thông tin chi tiết trong RFC2246.
2.2.3 Giải thuật SSL và TLS
- SSL sử dụng giải thuật MAC(Message Authentication Code)
- TLS sử dụng giải thuật HMAC(Hashing for Message Authentication Code)
MAC và HMAC là hai phương thức bảo đảm tính toàn vẹn của dữ liệu khi truyền trong môi trường không tin cậy như Internet. HMAC có thêm các giải thuật băm.
- TLS được chuẩn hóa trong RFC 2246
- TLS được đính thêm mới một số thông điệp cảnh báo (alert message)
- TLS bao gồm thêm giải thuật Fortezza(giải thuật này không được công bố bởi các chính sách của IETF)
Các dịch vụ dùng SSL/TLS sử dụng các số cổng chuyên dụng được dành riêng bởi IANA -Internet Asigned Numbers Authority
2.2 Cấu trúc của giao thức SSL
- Cấu trúc và giao thức SSL được minh họa trong hình 1.1
hình 1.1: Cấu trúc của SSL và giao thức SSL
Theo hình 1.1 , SSL ám chỉ một lớp (bảo mật) trung gian giữa lớp vận chuyển (Transport Layer) và lớp ứng dụng (Application Layer). SSL được xếp lớp lên trên một dịch vụ vận chuyển định hướng nối kết và đáng tin cậy, chẳng hạn như được cung cấp bởi TCP.
- Về khả năng, nó có thể cung cấp các dịch vụ bảo mật cho các giao thức ứng dụng tùy ý dựa vào TCP chứ không chỉ HTTP. Thực tế, một ưu điểm chính của các giao thức bảo mật lớp vận chuyển (Transport layer) nói chung và giao thức SSL nói riêng là chúng độc lập với ứng dụng theo nghĩa là chúng có thể được sử dụng để bảo vệ bất kỳ giao thức ứng dụng được xếp lớp lên trên TCP một cách trong suốt.
- Tất cả chúng có thể được bảo vệ bằng cách xếp lớn chúng lên trên SSL (mẫu tự S được thêm vào trong các từ ghép giao thức tương ứng chỉ định việc sử dụng SSL). Tuy nhiên, chú ý rằng SSL có một định hướng client-server mạnh mẽ và thật sự không đáp ứng các yêu cầu của các giao thức ứng dụng ngang hàng.
- Tóm lại, giao thức SSL cung cấp sự bảo mật truyền thông vốn có ba đặc tính cơ bản:
1. Các bên giao tiếp (nghĩa là client và server) có thể xác thực nhau bằng cách sử dụng mật mã khóa chung.
2. Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi một sự thiết lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra.
3. Tính xác thực và tính toàn vẹn của lưu lượng dữ liệu cũng được bảo vệ vì các thông báo được xác thực và được kiểm tra tính toàn vẹn một cách trong suốt bằng cách sử dụng MAC.
Tuy nhiên, điều quan trọng cần lưu ý là SSL không ngăn các cuộc tấn công phân tích lưu lượng. Ví dụ, bằng cách xem xét các địa chỉ IP nguồn và đích không được mã hóa và các sô cổng TCP, hoặc xem xét lượng dữ liệu được truyền, một người phân tích lưu lượng vẫn có thể xác định các bên nào đang tương tác, các loại dịch vụ đang được sử dụng, và đôi khi ngay cả dành được thông tin về các mối quan hệ doanh nghiệp hoặc cá nhân. Hơn nữa, SSL không ngăn các cuộc tấn công có định hướng dựa vào phần thực thi TCP, chẳng hạn như các cuộc tấn công làm tràn ngập TCP SYN hoặc cưỡng đoạt session.
Để sử dụng sự bảo vệ SSL, cả client lẫn server phải biết rằng phía bên kia đang sử dụng SSL. Nói chung, có ba khả năng để giải quyết vấn đề này:
1. Sử dụng các số cổng chuyên dụng được dành riêng bởi Internet Asigned Numbers Authority (IANA). Trong trường hợp này, một số cổng riêng biệt phải được gán cho mọi giao thức ứng dụng vốn sử dụng SSL.
2. Sử dụng số cổng chuẩn cho mọi giao thức ứng dụng và để thương lượng các tùy chọn bảo mật như là một phần của giao thức ứng dụng (bây giờ được chỉnh sửa đôi chút).
3. Sử dụng một tùy chọn TCP để thương lượng việc sử dụng một giao thức bảo mật, chẳng hạn như SSL trong suốt giai đoạn thiết lập nối kết TCP thông thường.
- Ngoài ra, việc xác định một tùy chọn TCP (nghĩa là khả năng thứ ba) là một giải pháp tốt, nhưng đó không được thảo luận nghiêm túc cho đến bây giờ. Thực tế, các số cổng riêng biệt đã được dành riêng và được gán bởi IANA cho mọi giao thức ứng dụng vốn có thể chạy trên SSL hoặc TLS (nghĩa là khả năng thứ nhất). Tuy nhiên, hãy chú ý việc sử dụng các số cổng riêng biệt cũng có khuyết điểm là đòi hỏi hai nối kết TCP nếu client không biết những gì mà server hỗ trợ. Trước tiên, client phải nối kết với cổng an toàn và sau đó với cổng không an toàn hay ngược lại. Rất có thể các giao thức sau này sẽ hủy bỏ phương pháp này và tìm khả năng thứ hai. Ví dụ, SALS (Simple Authentication và Security Layer) xác định một phù hợp để thêm sự hỗ trợ xác thực vào các giao thức ứng dụng dựa vào kết nối. Theo thông số kỹ thuật SALS, việc sử dụng các cơ chế xác thực có thể thương lượng giữa client và server của một giao thức ứng dụng đã cho.
3. Khái niệm về Encrypting File System (EFS) ?
- EFS là viết tắt của Encrypting File System. EFS có từ thời Windows 2000/2003/2008 trên dòng server và WIndows 2000/XP/Vista trên dòng máy trạm. EFS được sử dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS cho truy xuất nội bộ và NTFS + File Sharing Permission cho truy cập qua phần chia sẻ hay NTFS + IIS Web Permission cho truy cập qua web.
3.1 EFS mã hóa tài liệu ra sao ?
- EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa công khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được EFS bảo vệ.
- EFS sử dụng các thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit để bảo vệ mã cá nhân (Private Key). Hiện có một số công cụ tự nhận là bẻ khóa được EFS nhưng bản chất ko pải là giải mã được mã khóa cá nhân mà chỉ dùng cách tấn công Brutal Force đề quét ra chuỗi khóa Private Key. Tuy nhiên bạn cần một máy tính siêu mạnh để thực hiện việc bẻ khóa một tài liệu được bảo vệ ở chế độ 256 bit.
3.2 EFS được sử dụng trong những tình huống an ninh nào ?
- EFS Component Driver sẽ kiểm tra tính tương tác với NTFS.
- EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local Cert - Store.
- Nếu ko tìm thấy EFS Driver sẽ đăng kí để lấy chữ kí private key cho người dùng từ CA.
- Nếu EFS Driver tiếp tục ko kết nối được với CA nó sẽ tự tạo ra một chứng chỉ (self-signing)
- EFS tạo ra khóa FEK và mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES.
- EFS tiếp tục dùng khóa công khai của người dùng đễ mã hóa tiếp khóa FEK với thuật toán RSA
- EFS sẽ lưu khóa FEK đã mã hóa trong Header DDF của tập tin mã hóa. Nếu quản trị đã cấu hình DRA thì khóa của agent này cũng sẽ được lưu trong DDF.
- Khi người dùng truy cập tập tin mã hóa thì pải có sẵn chứng chỉ private key thì mới xem được tập tin.
- DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ bởi EFS
3.3 EFS làm việc với môi trường ko có PKI hay ko ?
- Ko có PKI: trong môi trường này còn được gọi là Standalone tức chính bản thân máy tính đó sẽ issue chứng nhận cho người dùng khởi tạo mã hóa.
- Có PKI: EFS sẽ xin chứng chỉ private key từ PKI được store trên Root CA (Standalone/Enterprise)/ Issue CA hoặc lấy từ AD.
4. Khái niệm IP Security
4.1 Các thao tác bảo mật.
4.2 Các bộ lọc IP Sec.
4.3 Triển khai IP Sec trên Windows Server 2003.
5. Tổng quan về Radius Server
5.1 Backend Cơ sở dữ liệu và máy chủ xác thực
5.2 RADIUS gói, thuộc tính, và giao thức xác thực
5.2.1 GÓI
5.2.2 ĐIỆP
5.2.3 THUỘC TÍNH
5.2.4 THỰC GIAO
5..2.5 PAP
5.2.6 Chap
5.2.7 MSCHAP (v1/v2)
5.3 Extensible Authentication Protocol (EAP)
III. Mô hình triển khai
Thực hành
1 ) HTTPS :
+ Cài đặt Enterprise CA
+ Default Website
+ Network Monitor
+ HTTPS
2 ) Secure Mail :
+ Cài đặt Mail Server Mdeamon
+ Cấu hình Windows Mail cho users
+ Admin sửa mail của users
+ User xin và cài đặt Certificates
+ User gửi mail có sign
+ Users gửi mail có encrypt
3 ) IP Security :
+ Cài đặt Network Monitor
+ Cấu hình IPSEC trên DC
+ Cấu hình IPSEC trên máy Client
4 ) Radius :
+ Cấu hình VPN – Client to gateway
+Cài IAS – Internet Authencation Services
+Cấu hình Radius Server
IV . Kết luận
Về nội dung , khi làm xong phần nào mình sẽ update lên sau
1. Tên đề tài : Tìm hiểu về các phương pháp mã hóa và chứng thực trên Window Server 2003
I. PHẦN MỞ ĐẦU
1. Lý do và mục đích chọn đề tài
2. Nội dung đề tài
3. Phương pháp nghiên cứu
4. Cấu trúc đề tài
II. Cơ sở lý thuyết
1. Bảo mật - Mã hóa dữ liệu
1.1 Symmetric Key Cryptography – SKC
( Phương pháp Mã hóa Đối xứng )
Phương pháp Mã hóa Đối xứng đã được biết đến và sử dụng từ rất lâu .
Sử dụng cùng một Mã khóa (Key code) cho việc mã hóa (Encryption) và Giải mã (Decryption). Việc mã hóa được thực hiện rất nhanh chóng dẫn đến khó bảo quản khi sử dụng nhiều Key Code.
Các thuật toán thường sử dụng :
DES (Data Encryption Standard), AES (Advanced Encryption Standard), 3DES (Triple DES )
Ví dụ :
SKC với nguyên tắc dời vị trí
Nội dung gốc : “Hello everybody”
Mã hóa : dời nội dung sang phải – Keycode =1
à “Lfmmp fxfsacpea”
Giải mã : dời nội dung sang trái – Keycode =1
à “Hello everybody
1.2 Public Key Infrastructure – PKI
( Phương pháp Mã hóa Công Khai )
1.2.1 Tổng quan về PKI
Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số ) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng thực khóa công khai – hay Public Key Infrastructure.
Khái niệm hạ tầng công khai (PKI) thường được dùng để chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toàn mã hóa công khai trong trao đổi thông tin .
1.2.2 Các thành phần của PKI
Một hệ thống PKI gồm 4 thành phần sau :
+ Certification Authorities (CA) : Cấp và thu hồi chứng chỉ
+ Registration Authorities (RA) : Gằn kết giữa kháo công khai và định danh của người giữ chứng chỉ
+ Clients : Người sử dụng chứng chỉ PKI hay theo cách khác được xác định như những thực thể cuối
Người sử dụng cuối hoặc hệ thống là chủ thể của chứng chỉ PKI
+ Repository : Hệ thống ( có thể phân tán ) lưu trữ chứng chỉ và danh sách các chứng chỉ bị thu hồi .
Cung cấp cơ chế phân phối chứng chỉ và CRLs đến các thực thể cuối . Các thành phần PKI và các mối quan hệ giữa chứng chỉ được chỉ ra như trong hình 2.1 . Đây là mô hình kiến trúc do PKIX đua ra
Hình 2.1
1.2.2.1 Tổ chức chứng thực ( Certification Authority)
+ Trong hạ tằng cơ sở công khai , chứng chỉ có vai trò gắn kết giữa định danh với khóa công. Sự gắn kết này thể hiện trong dạng cấu trúc dữ liệu được ký số , được đề cập đến như chứng chỉ đã được thảo luận ở phần trước . Một Certificate Authority (CA) là một thục thể PKI có trách nhiệm cấp chứng chỉ cho các thực thể trong hệ thống .
+ Tổ chức chứng thực – CA cũng được gọi là bên thứ ba được tin tưởng vì người sử dụng cuối tin tưởng vào chữ ký số CA trên chứng chỉ trong khi thực hiện những hoạt động mã hóa công khai cần thiết . Tổ chức cung cấp dịch vụ chứng thực – Certification Service Provider (CSP) là một thuật ngữ khác nhắc đền CA được sử dụng trong bài báo cáo.
+Thông thường CA thực hiện chức năng xác thực bằng cách cấp chứng chỉ cho các CA khác và cho thực thể cuối ( người giữ chứng chỉ ) trong hệ thống. Nếu CA nằm ở đỉnh của mô hình phân cấp PKI và chi cấp chứng chỉ cho những CA ở mức thấp hơn thì chứng chỉ này được gọi là chứng chỉ gốc “root certificate”.
1.2.2.2 Trung tâm đăng ký ( Registration Authorities)
+Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là “registration authority” – trung tam đăng ký. Ví dụ khi số lượng thực thể cuồi trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Để giải quyết vấn đề này cần thiết phải có một hoặc nhiều RAs ( trung tâm đăng ký địa phương )
+Mục đích chính của RA là để giảm tải công việc của CA. Chức năng thực hiện của một RA cụ thể sẽ khác nhau tùy theo nhu cầu truển khai PKI nhưng chu yếu bao gồm những chức năng sau :
+ Xác thực cá nhân chủ thể đăng ký chứng chỉ.
+ Kiểm tra tính hợp lệ của thông in do chủ thể cung cấp.
+ Xác nhận quyền của chủ thể đối với những thuộc tính chứng chỉ được yêu càu.
+ Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký hay không – điều này thường được đề cập đến như sự chứng minh sở hữu (proof of possession – POP).
+ Tạo cặp kháo bí mật / công khai.
+ Phân phối bí mật được chỉa sẻ đền thực thể cuối khởi tạo quá trình đăng ký với CA.
+ Lưu trữ khóa riêng.
+ Khởi sinh quá trình khôi phục khóa.
+ Phân phối thẻ bài vật lý (ví dụ như thẻ thông minh) chứa khóa riêng.
1.2.2.3 Thực thể cuối (Người giữ chứng chỉ và Clients)
+ Thực thể cuối trong PKI có thể là con người, thiết bị, và thậm chí là một chương trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ thực hiện những chức năng mật mã (mã hóa , giải mã và ký số)
1.2.2.4 Hệ thống lưu trữ (Repositories)
- Chứng chỉ (khóa công) và thông tin thu hồi chứng chỉ phải được phân phối sao cho những người cần đến chứng chỉ đều có thể truy cập và lấy được.
- Có 2 phương pháp phân phối chứng chỉ :
+ Phân phối cá nhân :
Là cách phân phối cở bản nhất. Trong phương pháp này sẽ trực tiếp đưa chứng chi của họ cho người dng2 khác nhau. Chuyển giao bằng tay chứng chỉ được lưu trong đĩa cứng hoặc trong một số các môi trường lưu trữ khác. Cũng có thể phân phối bằng cách gằn chứng chỉ trong email để gửi cho người khác.
Cách này thực hiện tốt trong môi nột nhóm ít người dùng nhưng khi số lượng tăng người tăng lên thì có thể xảy ra vấn đề quan lí.
+ Phân phối công khai
Một phương pháp khác phổ biến hơn để phân phối chứng chỉ ( và thông tin thu hồi chứng chỉ) là công bố các chứng chỉ rộng rãi, các chứng chỉ này có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu.
Dưới đây là ví dụ về một số hệ thống lưu trữ:
- X.500 Directory Access Protocol (DSAs)
- Lightweight Directory Access Protocol (LDAP) Server
- Domain name System (DNS) và Web Servers
- File Transfer Protocol (FTP) Servers và Corporate Databases
1.2.3 Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau. Nhưng nhìn chung có hai chức năng chình là: chứng thực và kiểm tra.
+ Chứng thực ( Certification) : là chức năng quan trong nhất của hệ thống PKI. Đây là quá trình ràng buộc khóa công khai với định danh của thực thể. CA là thực thể PKI thực hiện chứng năng, chứng thực. Có hai phương pháp chứng thực:
- Tồ chức chứng thực (CA) tạo ra cặp khóa công khai / khóa bí mật và tạo ra chứng chỉ cho phần công khóa công của cặp khóa.
- Người sử dụng tư tạo cặp khóa và đưa khóa công cho CA để CA tạo chứng chỉ khóa công đó. Chứng chi đảm bảo tính toan vẹn của khóa công khai và các thông tin gắn cùng.
+ Thẩm tra ( validation) : quá trình các định liệu chứng chỉ đã đưa ra có thể được sử dụng đúng mục đích thích hợp hay không được xem như là quá trình kiểm tra tính hiệu lực của chứng chỉ. Úa trình này bao gồm một sau bước sau:
- Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lện chứng chỉ hay không (xử lý theo đường dẫn chứng chỉ).
- Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.
- Xác định xem chứng chỉ còn ở trong thời gian có hiệu lực hay không.
- Xác định xem chứng chỉ đã bị thu hồi hay chưa.
-Xác định xem chứng chỉ đang được sử dụng đúng mục đích, chính sách giới hạn hay không (bằng cách kiểm tra những trường mở rộng cụ thể như mở rộng chính sách chứng chỉ hay mở rộng việc sử dụng khóa công khai).
2. Tìm hiểu giao thức SSL/TLS –Hoạt động, tấn công và phòng chống.
2.1 Tổng quan về giao thức SSL/TLS
2.1.1 SSL/TLS là gì ?
- Secure Sockets Layer (SSL), Transport Layer Security (TLS) là hai giao thức nổi bật để cung cấp dịch vụ bảo mật cho lưu lượng dữ liệutrên kênh truyền.
- Lợi ích khi dùng SSL/TLS :
+ Strong authentication, message privacy, and integrity.
+ Interoperability
+ Algorithm flexibility
+ Ease of deployment
+ Ease of use
2.2.2 Lịch sử ra đời SSL/TLS
- SSL được phát triển bởi Netscape Communications Corporationvào năm 1994để đảm bảo các giao dịch trên World Wide Web.
- Đến nay đã có 3 phiên bản SSL:
+ SSL 1.0: Được sử dụng nội bộ chỉ bởi Netscape Communications. Nó chứa một số khiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài
+ SSL 2.0: Ra đời cùng lúc Microsoft giới thiệu giao thức PCT (Private Communication Technology) , nhằm cạnh tranh trong lần tung ra Internet Explorer đầu tiênvào năm 1996.
+ SLL 3.0: Netscape Communications đã phản ứng lại sự thách thức PCT của Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng mới. Vào thời điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiên bản phần mềm dựa vào TCP/IP của nó (mặc dù phiên bản riêng của nó vẫn hỗ trợ PCT cho sự tương thích ngược).
Ngay sau đó, IETF (Internet Engineering Task Force)đã bắt đầu làm việc để phát triển một giao thức chuẩn để cung cấp các chức năng tương tự -> TLS ra đời.
TLS 1.0 được IETF phát triển dựa trên SSL 3.0. TLS được thông tin chi tiết trong RFC2246.
2.2.3 Giải thuật SSL và TLS
- SSL sử dụng giải thuật MAC(Message Authentication Code)
- TLS sử dụng giải thuật HMAC(Hashing for Message Authentication Code)
MAC và HMAC là hai phương thức bảo đảm tính toàn vẹn của dữ liệu khi truyền trong môi trường không tin cậy như Internet. HMAC có thêm các giải thuật băm.
- TLS được chuẩn hóa trong RFC 2246
- TLS được đính thêm mới một số thông điệp cảnh báo (alert message)
- TLS bao gồm thêm giải thuật Fortezza(giải thuật này không được công bố bởi các chính sách của IETF)
Các dịch vụ dùng SSL/TLS sử dụng các số cổng chuyên dụng được dành riêng bởi IANA -Internet Asigned Numbers Authority
2.2 Cấu trúc của giao thức SSL
- Cấu trúc và giao thức SSL được minh họa trong hình 1.1
hình 1.1: Cấu trúc của SSL và giao thức SSL
Theo hình 1.1 , SSL ám chỉ một lớp (bảo mật) trung gian giữa lớp vận chuyển (Transport Layer) và lớp ứng dụng (Application Layer). SSL được xếp lớp lên trên một dịch vụ vận chuyển định hướng nối kết và đáng tin cậy, chẳng hạn như được cung cấp bởi TCP.
- Về khả năng, nó có thể cung cấp các dịch vụ bảo mật cho các giao thức ứng dụng tùy ý dựa vào TCP chứ không chỉ HTTP. Thực tế, một ưu điểm chính của các giao thức bảo mật lớp vận chuyển (Transport layer) nói chung và giao thức SSL nói riêng là chúng độc lập với ứng dụng theo nghĩa là chúng có thể được sử dụng để bảo vệ bất kỳ giao thức ứng dụng được xếp lớp lên trên TCP một cách trong suốt.
- Tất cả chúng có thể được bảo vệ bằng cách xếp lớn chúng lên trên SSL (mẫu tự S được thêm vào trong các từ ghép giao thức tương ứng chỉ định việc sử dụng SSL). Tuy nhiên, chú ý rằng SSL có một định hướng client-server mạnh mẽ và thật sự không đáp ứng các yêu cầu của các giao thức ứng dụng ngang hàng.
- Tóm lại, giao thức SSL cung cấp sự bảo mật truyền thông vốn có ba đặc tính cơ bản:
1. Các bên giao tiếp (nghĩa là client và server) có thể xác thực nhau bằng cách sử dụng mật mã khóa chung.
2. Sự bí mật của lưu lượng dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi một sự thiết lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra.
3. Tính xác thực và tính toàn vẹn của lưu lượng dữ liệu cũng được bảo vệ vì các thông báo được xác thực và được kiểm tra tính toàn vẹn một cách trong suốt bằng cách sử dụng MAC.
Tuy nhiên, điều quan trọng cần lưu ý là SSL không ngăn các cuộc tấn công phân tích lưu lượng. Ví dụ, bằng cách xem xét các địa chỉ IP nguồn và đích không được mã hóa và các sô cổng TCP, hoặc xem xét lượng dữ liệu được truyền, một người phân tích lưu lượng vẫn có thể xác định các bên nào đang tương tác, các loại dịch vụ đang được sử dụng, và đôi khi ngay cả dành được thông tin về các mối quan hệ doanh nghiệp hoặc cá nhân. Hơn nữa, SSL không ngăn các cuộc tấn công có định hướng dựa vào phần thực thi TCP, chẳng hạn như các cuộc tấn công làm tràn ngập TCP SYN hoặc cưỡng đoạt session.
Để sử dụng sự bảo vệ SSL, cả client lẫn server phải biết rằng phía bên kia đang sử dụng SSL. Nói chung, có ba khả năng để giải quyết vấn đề này:
1. Sử dụng các số cổng chuyên dụng được dành riêng bởi Internet Asigned Numbers Authority (IANA). Trong trường hợp này, một số cổng riêng biệt phải được gán cho mọi giao thức ứng dụng vốn sử dụng SSL.
2. Sử dụng số cổng chuẩn cho mọi giao thức ứng dụng và để thương lượng các tùy chọn bảo mật như là một phần của giao thức ứng dụng (bây giờ được chỉnh sửa đôi chút).
3. Sử dụng một tùy chọn TCP để thương lượng việc sử dụng một giao thức bảo mật, chẳng hạn như SSL trong suốt giai đoạn thiết lập nối kết TCP thông thường.
- Ngoài ra, việc xác định một tùy chọn TCP (nghĩa là khả năng thứ ba) là một giải pháp tốt, nhưng đó không được thảo luận nghiêm túc cho đến bây giờ. Thực tế, các số cổng riêng biệt đã được dành riêng và được gán bởi IANA cho mọi giao thức ứng dụng vốn có thể chạy trên SSL hoặc TLS (nghĩa là khả năng thứ nhất). Tuy nhiên, hãy chú ý việc sử dụng các số cổng riêng biệt cũng có khuyết điểm là đòi hỏi hai nối kết TCP nếu client không biết những gì mà server hỗ trợ. Trước tiên, client phải nối kết với cổng an toàn và sau đó với cổng không an toàn hay ngược lại. Rất có thể các giao thức sau này sẽ hủy bỏ phương pháp này và tìm khả năng thứ hai. Ví dụ, SALS (Simple Authentication và Security Layer) xác định một phù hợp để thêm sự hỗ trợ xác thực vào các giao thức ứng dụng dựa vào kết nối. Theo thông số kỹ thuật SALS, việc sử dụng các cơ chế xác thực có thể thương lượng giữa client và server của một giao thức ứng dụng đã cho.
3. Khái niệm về Encrypting File System (EFS) ?
- EFS là viết tắt của Encrypting File System. EFS có từ thời Windows 2000/2003/2008 trên dòng server và WIndows 2000/XP/Vista trên dòng máy trạm. EFS được sử dụng như một lớp bảo vệ dữ liệu bên ngoài lớp bảo vệ NTFS cho truy xuất nội bộ và NTFS + File Sharing Permission cho truy cập qua phần chia sẻ hay NTFS + IIS Web Permission cho truy cập qua web.
3.1 EFS mã hóa tài liệu ra sao ?
- EFS về bản chất sử dụng chứng chỉ điện tử (digital certificate) do nền tảng khóa công khai PKI cung cấp để kiểm soát việc ai được truy cập vào tập tin/ thư mục được EFS bảo vệ.
- EFS sử dụng các thuật toán DESX/3DES/AES với số lượng bit lên đến 256 bit để bảo vệ mã cá nhân (Private Key). Hiện có một số công cụ tự nhận là bẻ khóa được EFS nhưng bản chất ko pải là giải mã được mã khóa cá nhân mà chỉ dùng cách tấn công Brutal Force đề quét ra chuỗi khóa Private Key. Tuy nhiên bạn cần một máy tính siêu mạnh để thực hiện việc bẻ khóa một tài liệu được bảo vệ ở chế độ 256 bit.
3.2 EFS được sử dụng trong những tình huống an ninh nào ?
- EFS Component Driver sẽ kiểm tra tính tương tác với NTFS.
- EFS Driver tìm kiếm chữ kí Private Key của người mã hóa tài liệu trong Local Cert - Store.
- Nếu ko tìm thấy EFS Driver sẽ đăng kí để lấy chữ kí private key cho người dùng từ CA.
- Nếu EFS Driver tiếp tục ko kết nối được với CA nó sẽ tự tạo ra một chứng chỉ (self-signing)
- EFS tạo ra khóa FEK và mã hóa nội dung tài liệu với thuật toán DESX/3DES/AES.
- EFS tiếp tục dùng khóa công khai của người dùng đễ mã hóa tiếp khóa FEK với thuật toán RSA
- EFS sẽ lưu khóa FEK đã mã hóa trong Header DDF của tập tin mã hóa. Nếu quản trị đã cấu hình DRA thì khóa của agent này cũng sẽ được lưu trong DDF.
- Khi người dùng truy cập tập tin mã hóa thì pải có sẵn chứng chỉ private key thì mới xem được tập tin.
- DRA phải import Private key mới có thể mở mã hóa của tài liệu được bảo vệ bởi EFS
3.3 EFS làm việc với môi trường ko có PKI hay ko ?
- Ko có PKI: trong môi trường này còn được gọi là Standalone tức chính bản thân máy tính đó sẽ issue chứng nhận cho người dùng khởi tạo mã hóa.
- Có PKI: EFS sẽ xin chứng chỉ private key từ PKI được store trên Root CA (Standalone/Enterprise)/ Issue CA hoặc lấy từ AD.
4. Khái niệm IP Security
4.1 Các thao tác bảo mật.
4.2 Các bộ lọc IP Sec.
4.3 Triển khai IP Sec trên Windows Server 2003.
5. Tổng quan về Radius Server
5.1 Backend Cơ sở dữ liệu và máy chủ xác thực
5.2 RADIUS gói, thuộc tính, và giao thức xác thực
5.2.1 GÓI
5.2.2 ĐIỆP
5.2.3 THUỘC TÍNH
5.2.4 THỰC GIAO
5..2.5 PAP
5.2.6 Chap
5.2.7 MSCHAP (v1/v2)
5.3 Extensible Authentication Protocol (EAP)
III. Mô hình triển khai
Thực hành
1 ) HTTPS :
+ Cài đặt Enterprise CA
+ Default Website
+ Network Monitor
+ HTTPS
2 ) Secure Mail :
+ Cài đặt Mail Server Mdeamon
+ Cấu hình Windows Mail cho users
+ Admin sửa mail của users
+ User xin và cài đặt Certificates
+ User gửi mail có sign
+ Users gửi mail có encrypt
3 ) IP Security :
+ Cài đặt Network Monitor
+ Cấu hình IPSEC trên DC
+ Cấu hình IPSEC trên máy Client
4 ) Radius :
+ Cấu hình VPN – Client to gateway
+Cài IAS – Internet Authencation Services
+Cấu hình Radius Server
IV . Kết luận
Comment