Thực hành áp dụng chữ ký điện tử vào thực tiễn

Khái niệm về chữ ký số (chữ ký điện tử):

Chữ ký số hay còn gọi là chữ ký điện tử có thể được hình dung tương tự như chữ ký viết tay. Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ kí điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào đó: văn bản, ảnh, video, ... và dữ liệu đó trong quá trình chuyển nhận có bị thay đổi hay không.

Tóm lại, mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi trong các tài liệu và cũng là để thực hiện việc kiểm tra tài liệu có thực sự được gửi bởi chủ thể cần giao dịch hay không.

Chữ ký số dùng kỹ thuật mã hóa khóa công khai và khóa riêng (public key/private key cryptography).

Bạn có thể cung cấp khóa công khai của bạn (public key) đến bất cứ người nào cần nó. Nhưng khóa riêng (private key) thì chỉ có bạn là người nắm giữ.

Ví dụ cơ bản: Mike có hai khóa, một khóa công khai và một khóa riêng. Mike đưa khóa công khai của mình cho Amanda, nhưng giữ lại khóa riêng cho mình. Khi muốn chuyển tài liệu cho Amanda, Mike có thể xác nhận (ký) các tài liệu này dùng chính khóa riêng của mình và gửi chúng đến Amanda. Amanda sau đó sẽ dùng khóa công khai của Mike, để có thể kiểm tra tài liệu mà cô ấy nhận được, thực sự được gửi bởi Mike.

Ứng dụng thứ nhất: dùng chữ ký điện tử cho Email

Chúng ta hãy bắt tay vào ứng dụng cụ thể sau đây để hiễu rõ hơn về cách thức dùng chũ ký điện tử trong một giao dịch thông thường.

Trong mô ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3.

Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike (trong ví dụ này Mike sẽ dùng để gửi email và tài khoản thứ hai xác lập cho Amanda (Amanda sẽ dùng để nhận e-mails và kiểm tra chữ ký điện tử nhằm xác định các mails này đúng là đến từ Mike )

Cấn kiểm tra kết nối Internet đã sẵn sàng cho việc gửi và nhận e-mails. Xin nhắc lại, Mike chính là người gửi (sender) và Amanda sẽ là người nhận mails (receiver). Trong ví dụ này, website của công ty cổ phần Storks và các tài khoản emails của họ được một nhà cung cấp dịch vụ/lưu trữ Web (web hosting service) trên Internet duy trì. Nhà cung cấp dịch vụ Web cung cấp cho công ty Storks các thông tin về tài khoản email cho Mike và Amanda, những tài khoản sẽ được sử dụng trong ví dụ này. Tất cả nhân viên dùng e-mail tại Storks đều dùng Outlook Express hoặc Microsoft Outlook là chương trình Mail client mặc định của mình.

Cài đặt một tài khoản email POP3

1. Mike sử dụng Outlook Express là chương trình mail client mặc định của mình. Đăng nhập vào Windows XP Computer của mình (Pro-1).

Mở Outlook Express từ menu chọn Tools, chọn Accounts.

2. Click vào Mail tab sau đó chọn Add, chọn tiếp Mail. Sau đó wizard sẽ hướng dẫn Mike từng bước để điền name, email address và thông tin về tài khoản POP3. các thông tin về tài khoản mail được cung cấp bởi ISAP hoặc nhà cung cấp dịch vụ Web (web hosting).

Lưu ý: Bạn cần cài đặt thêm một tài khoản POP3 thứ hai dành cho Amanda theo cùng cách thức trên để kiểm tra chữ ký điện tử của các tài liệu nhận được từ email của Mike.

Thuê một chứng chỉ số cá nhân (personal certificate) từ một nhà cung cấp chứng chỉ số công cộng (public CA)

3. Bước kế tiếp, để có thể gửi mail với chũ ký điện tử, Mike cần liên hệ và thuê chứng chỉ số cá nhân từ một nhà cung cấp chứng chỉ số tin cậy (trusted public CA), chẳng hạn như Verisign hay Thawte. Thuê chứng chỉ số từ bên cung cấp thứ ba (3rd party) được đánh giá tin cậy là điều cần thiết nếu bạn muốn chuyển email an toàn đến một người nhận không cùng trong tổ chức của bạn. Vì thông thường, trong một tổ chức, để đảm bảo an toàn cho các giao dịch nội bộ dùng chữ ký điện tử, tổ chức đó thường sử dụng dịch vụ cung cấp chứng chỉ số an toàn của riêng mình (ví dụ cài đặt và triển khai dịch vụ cung cấp chứng chỉ số Certificate Authority –CA, trên Windows Server 2003) . Tuy nhiên nhà cung cấp chứng chỉ số cục bộ này không thường được sử dụng cho các giao dịch điện tử với các giao dịch không cùng tổ chức của bạn.

Chính vì những lý do này, nên công ty Storks đã quyết định sử dụng chứng chỉ số của nhà cung cấp Thawte (www.thawte.com), để trang bị cho Mike trong các giao dịch email dùng chứng chỉ số cá nhân.

Và Mike có thể đăng ký cho mình một tài khoản Personal Email Certificate hoàn toàn miễn phí tại đây. Truy cập weblink sau và tiến hành đăng ký để nhận chứng chỉ số cá nhân

http://www.thawte.com/secure-email/personal-email-certificates/index.html

Lưu ý quan trọng:

Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn. Các thông tin này là cần thiết và sẽ được các hệ thống CA của Thawte xử lý trong tiến trình cấp pháp chứng chỉ số cho bạn. Đảm bảo phải đọc tất cả các thông tin về việc cung cấp chứng chỉ số trên Website của Thawte và biết những việc gì cần thiết phải thực hiện trong suốt quá trình đăng ký.

Bạn cần cung cấp thông tin cá nhân và trả lời 5 câu hỏi xác nhận cho chính mình.Sau khi đã thực hiện đăng ký, bạn sẽ nhận một email từ Thawte với những hướng dẫn cụ thể cách thức hoàn thành việc xin cấp chứng chỉ số.

Sau quy trình này, bạn sẽ nhận tiếp một email khác xác nhận chứng chỉ số cá nhân của Thawte đã được cấp cho bạn. Chỉ cần click vào các link trên Email này và tiến hành cài đặt chứng chỉ số. Click Yes và OK khi thông báo Certificate Installation Complete xuất hiện .



Xác nhận điện tử cho các emails

Một khi chứng chỉ số cá nhân cho email đã được cài đặt , bạn có thể dùng nó làm chữ ký số và mã hóa các email gửi đi.

1. Mở Outlook Express dùng tài khoản email POP3 đầu tiên đã tạo ở trên. Chọn Tools, chọn Options và chọn Security tab. Trên tab này, chúng ta sẽ có một tùy chọn encrypt and digitally sign your outgoing messages. Click ApplyOK.



2. Click vào Create Mail và bạn sẽ thấy biểu tượng ruy băng đỏ ở góc trên bên phải. Điều này có nghĩa là email mà bạn gửi đi sẽ được xác nhận với chữ ký số. điền vào To: người nhận địa chỉ email là Amanda (email POP3 thứ 2 bạn tạo)

Sau đó click Send.

3. Chuyển đến tài khoản email POP3 của Amanda và mở email nhận được từ Mike. Bạn sẽ thấy message mà Amanda nhận sẽ tương tự màn hình bên dưới. Click vào Continue để xem thông điệp thực sự .

Bạn hãy để ý ruy băng màu đỏ góc phải trên của mail. Điều này cho Amanda biết rằng Mike đã tiến hành gửi mail này dùng chữ ký số. Click vào biểu tượng ruy băng Đỏ để xem chữ ký số từ người gửi (sender). Kiểm tra và thấy rằng nội dung mail đã không bị thay đổi và chữ ký số này là đáng tin cậy. Có thể xem thông tin về chứng chỉ số cá nhân của sender bằng cách click View Certificate.

Mã hóa Emails

Mã hóa là một phương pháp bảo mật thực hiện việc chuyển đổi dữ liệu từ dạng thông thường (plain text) thành dạng không thể đọc theo cách thông thường (unreadable text) nhằm đảm bảo sự cẩn mật (confidentiality), tính tích hợp (integrity) và tính chất xác thực (authenticity) của dữ liệu . Khi bạn mã hóa email, thì toàn bộ email sẽ được mã hóa bao gồm phần thông điệp và các file đính kèm (attachments). Một chữ ký số sẽ đảm bảo tính chất xác thực (đúng là người gửi) và tính tích hợp (dữ liệu đã không bị thay đổi) nhưng không đảm bảo được tính chất bí mật (confidentiality) vì nội dung mail đã không được mã hóa.

1. Mở Outlook Express dùng tài khoản mail POP3 thứ 2 tức của Amanda’. Chọn Tools, chọn Options. Click vào Security tab. Đánh dấu vào hộp Encrypt contents and attachments for all outgoing messages. Click ApplyOK.

2. Click vào Create Mail và sẽ thấy xuất hiện biểu tượng ổ khóa lock ở góc trên bên phải. Điều này có nghĩa là email của bạn sẽ được mã hóa khi gửi. Điền vào địa chỉ email người nhận là tài khoản POP3 của Mike và click Send.

3. Quay trở lai tài khoản mail POP3 của Mike và mở email mà Amanda vừa gửi. Khi bạn mở email, bạn sẽ nhận được một thông điệp An application is requesting access to a protected item.

4. Click OK và sau đó chọn Continue để đọc nội dung email đã mã hóa.

5. Bạn có thể click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết hơn về email đã mã hóa . Amanda đã không xác nhận chữ ký số cho message này nên tại Digital Signature tất cả các dòng đều xác nhận không sử dụng n/a (not available).

Ứng dụng thứ hai: Dùng PGP để mã hóa files

PGP (Pretty Good Privacy) là phần mềm miễn phí cung cấp khả năng mã hóa PGP trong gửi nhận email và truyền file hàng đầu hiện nay. Tuy nhiên nếu sử dụng cho mục đích thương mại, bạn cần mua phiên bản thương mại của PGP bao gồm nhiều tính năng hơn so với phiên bản miễn phí. Mục đích chính của PGP là mã hóa files nhằm đảm bảo an toàn khi được truyền qua Internet.

Với PGP Freeware chỉ được sử dụng giới hạn như sau:

  • Được sử dụng mang tính chất cá nhân tại nhà, không liên quan đến các hoạt động sinh lợi nhuận (như tại môi trường của công ty)
  • Sinh viên tại các trường, học viên phi lợi nhuận
  • Các hội từ thiện, các viện, tổ chức phi lợi nhuận

Có thể download phiên bản miễn phí của PGP tại weblink sau:
http://www.pgp.com/products/freeware.html

Cài đặt PGP

1, Đăng nhập vào Windows XP có tên Pro-1 của bạn với quyền Administrator và khởi động quy trình cài đặt PGP bằng cách click đúp vào File cài đặt vừa download. Click Next, đọc các thỏa thuận về License, click Yes. Màn hình Read Me xuất hiện, click Next sau khi đọc xong phần này. Chọn No, I’m a New User, vì bạn là người mới sử dụng, chưa từng tạo và sử dụng các khóa của PGP trước đó (pre-existing keys).

2, Giữ nguyên các giá trị mặc định cho Destination Folder và click Next. Chọn các thành phần như hình minh họa, click Next. Click Next lần nữa và Finish để khởi động lại máy.

3, Đăng nhập lại vào máy với tài khoản của Mike (hoặc nếu Mike chính là Administrator , thì đăng nhập bình thường như lần trước). PGP New User Configuration Wizard xuất hiện hướng dẫn Mike các thao tác. Click Next để tiếp tục. Chọn Yes sau đó click Next.

4, Kế tiếp chọn I am a New User. Create new keyring files for me. Click Next, sau đó Click Finish để hoàn thành.

5, Bạn sẽ thấy xuất hiện hộp thoại PGP License. Nếu đang dùng phiên bản free , click Later, ngược lại nếu muốn mua license, click Authorize.

6, PGP Key Generation Wizard sẽ xuất hiện. Click Next tiếp tục. Điền vào họ tên đầy đủ của bạn, và địa chỉ email, sau đó click Next.

Trong ví dụ này là tên và địa chỉ email của Mike

7, Màn hình kế tiếp nhắc bạn điền vào passphrase, mục đích của passphrase là bảo vệ việc truy cập vào khóa riêng (private key). Nên sử dụng một passphrase sao cho an toàn (không dễ dàng có thể đoán hoặc dò ra).

Điền một passphrase và xác nhận (confirm), sau đó click Next. Và chú ý rằng bạn là Mike , private key được tạo dành cho bạn, và không bao giờ được quên passphrase của mình.

8, Click Next sau đó, chọn Finish hoàn tất quá trình kích hoạt khóa.

Xuất khóa công khai (Public PGP Key)

Tại sao cần phải xuất (export) khóa công khai PGP. Câu trả lời đơn giản như sau. Mục tiêu của ví dụ này là làm sao Amanda có thể mã hóa một text file và sau đó gửi nó cho Mike dưới dạng file đính kèm (attachment) qua email. Để làm được điều này, Amanda cần phải có khóa công khai (public key) của Mike.

Mike đã cài đặt và kích hoạt khóa PGP, và tiếp theo anh ấy sẽ xuất khóa công khai của mình, và sau đó chuyển khóa này đến cho Amanda để cô ấy có thể mã hóa nội dung text file và sau đó gửi trở lại cho Mike dưới dạng file đính kèm. Còn ngược lại trong trường hợp Mike sẽ gửi các files mã hóa cho Amanda, thì chính Amanda phải xuất các khóa công khai và chuyển nó cho Mike, để giao dịch an toàn xảy ra.

1. Click chuột phải vào PGP lock nằm ở khay hệ thống và click tiếp PGPkeys.

2. Click Keys và sau đó Export. Điền vào tên file và lưu lại vào bất kỳ nơi nào dễ nhớ ví dụ: ổ C: hoặc đĩa mềm FDD 1.44”. Mike đã lưu file này vào đĩa mềm và chuyển đĩa mềm này đến cho Amanda.

Và Amanda cũng sẽ làm tương tự.

Và chú ý trong ví dụ thực hành này, các thao tác tiến hành cài đặt và cấu hình PGP trên máy của Amanda, cũng sẽ tương tự như các thao tác mà các bạn đang thực hiện trên máy Mike nếu Mike muốn gửi các dữ liệu an toàn qua email cho Amanda, và như vậy Amanda sẽ dùng PGP kích hoạt khóa cho mình, sau đó xuất khóa công khai, lưu giữ vào đĩa mềm và chuyển khóa này cho Mike, Mike sẽ dùng khóa này đễ mã hóa dữ liệu, sau đó gửi dữ liệu cho Amanda

Nhập khóa công khai PGP key

Một khi Amanda đã nhận được khóa công khai từ Miketrên đĩa mềm, co ấy cần nhập khóa này vào PGP software.

1. Click phải chuột vào PGP lock từ khay hệ thống và click PGPkeys. Click Keys và chọn Import.

2. Chọn khóa dưới tên file là Mike Bowers đã save vào đĩa mềm và click Open.

3. Select Mike Bowers và click Import. Thoát khỏi PGPkeys window. Và chú ý: theo hướng ngược lại Mike cũng cần nhập khóa công khai của Amanda gửi cho mình.

Kiểm tra việc mã hóa file sẽ gửi dùng PGP encryption

1. Tạo một text file trên desktop có tên Confidential. Click phải vào file và chọn PGP, chọn Encrypt & Sign.

2. Chọn người nhận là Mike Bowers (recipient) và click OK.

3. Điền vào passphrase của Amanda vào và click OK. Mục đích của việc này nhằm xác nhận File đã được mã hóa để Mike có thể biết chắc chắn Amanda thực sự là người gửi.

4. Khi File đã được mã hóa dùng PGP, biểu tượng file sẽ thay đổi như hình minh họa. Và chỉ có những người sau đây có thể mở file này: Amanda (với passphrase của mình), Mike (với passphrase của anh ấy) và người nào đó đánh cắp được passphrase của Amanda hoặc Mike.

5. Amanda sau đó sẽ gửi file mã hóa này dưới dạng Attachment đính kèm email cho Mike.

6. Bấy giờ khi Mike tiến hành nhận mail và lưu file đính kèm trên Desktop.

7. Khi Mike click đúp vào file mã hóa, anh ấy cần đưa chính xác passphrase của mình vào và click OK. Nếu passphrase đúng, file sẽ được giải mã.

8. Mike đã mở file và xem được nội dung bên trong

PGP – Wipe (tính năng xóa File vĩnh viễn của PGP)

Khi một File đã được hệ thống delete thường vẫn còn tồn tại trên đĩa cứng của bạn và có thể dễ dàng được phục hồi chỉ với một phần mềm phục hồi dữ liệu và chút ít kỹ năng. Điều này khá nguy hiểm, vì những dữ liệu này có thể bị khai thác. Thông tin đã bị xóa vẫn hiện diện trên đĩa cứng và thường chỉ mất đi nếu bị các thông tin mới ghi đè lên (overwritten) , ngay cả trong trường hợp này, với một số siêu công cụ phục hồi dữ liệu vẫn có thể phục hồi. Và PGP đã cung cấp cho chúng ta một tính năng, xóa dữ liệu vĩnh viễn là PGP’s Wipe , thông tin đã xác định xóa với PGP wipe, mãi mãi sẽ không có cơ hội phục hồi. Sử dụng phương pháp ghi dd9e2 lên thông tin bị xóa một số các thông tin ngẫu nhiên vào những thời điểm đã xác định.

1. Mike sẽ kiểm tra tính năng này trên computer của mình. Right click trên Confidential file và chọn PGP, chọn Wipe.

2. Chọn file được liệt kê và click Yes. File sẽ bị xóa vĩnh viễn.


Hồ Việt Hà
Network Information Security Vietnam.

www.Nis.com.vn
Email:
NetworkSecurity@Nis.com.vn

Thứ Bảy, 27/05/2006 08:30
31 👨 3.092
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản