Nghiên cứu hạ tầng khóa công khai (Public Key Infrastructure-PKI)

Lời nói đầu Khoa học sáng tạo luôn là 1 điều mới mẻ và luôn tạo cảm hứng cho mỗi con người trên trái đất này.Như nhà toán học nổi tiếng Descartes đã nói “Tôi tư duy,vậy tôi tồn tại”.Việc tư duy suy nghĩ liên tục để luôn tạo ra cái mới,cái có lợi để khám phá những điều bí ẩn và chưa có lời giải đáp.Nay thông qua việc tiếp thu kiến thức từ môn học phương pháp luận sáng tạo tôi sẽ áp dụng 40 nguyên tắc sáng tạo cơ bản để giải thích những đặc điểm nổi bật của một vấn đề nhỏ trong môi trường tin học rộng lớn như đại dương đó là hạ tầng khóa công khai(Public Key Infrastructure-PKI)..Điều quan trọng ở đây là ta nhận thấy được sự tư duy trong phương pháp sang tạo giữa người chống và kẻ phá.Luôn có sự tồn tại song song giữa 2 mặt đối lập này trong lĩnh vực an ninh thông tin. MỤC LỤC 1.1/ Nguyên nhân tại sao sử dụng PKI….2 1.2/Sơ lược về PKI......4 1.3/Phương pháp mã hóa....5 1.4/Chữ kí số7 1.5/Certificate và Certification Authiority(CA)….9 1.1/Nguyên nhân tại sao sử dụng PKI: -Ta xem xét 1 trường hợp giao dịch đơn giản giữa 2 người dùng như sau: +User A và User B cùng gửi dữ liệu qua đường truyền,cùng giao dịch với nhau trong cùng 1 session.Dữ liệu đi từ A đến B nhưng có 1 điều quan trọng rằng user A và user B không biết rằng người giao dịch với mình có phải thực tế là chính họ hay không.Ta lại xem xét 1 trường hợp kế tiếp như sau: -Ở mô hình này ta đã nhận thấy rằng User C đã bắt đầu ứng dụng phương pháp sử dụng mình như là 1 vật trung gian đứng ở giữa để nghe lén các thông tin của người khác.Mô hình kế tiếp ở sau đây ta sẽ thấy rõ hơn việc User C thay mặt cả 2 bên User A và User B để giao dịch qua lại mà User A và User B không hề hay biết về đối tượng mình giao dịch là giả -Từ những việc xảy ra ở trên đã đặt ra 1 vấn đề làm sao để xác nhận được người giao dịch với mình và 1 điều quan trọng hơn nữa là làm sao để dữ liệu mặc dù có thể bị nghe lén và đánh cắp mà vẫn ko thể biết được và sử dụng được.Do đó mô hình PKI đã được ra đời để giải quyết cả 2 vấn đề trên. 1.2/Sơ lược về PKI: -PKI là từ viết tắt của Public Key Infrastructure là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực khóa công khai. -Trong ngành Mật mã học, PKI là sự sắp xếp kết hợp Khóa Công Khai với Các Yếu Tố Định Danh (identities) của đối tượng tạo thành một Chứng Nhận (Certificate) bới một thành phần thứ ba gọi là Nhà Cung Cấp Dịch Vụ Chứng Nhận (Certification Authority _ viết tắt là CA) thông qua các thuật toán Cơ chế này gán cho mỗi đối tượng tham gia giao dịch một cặp mã khóa gồm Khóa Công Khai (Public key) và Khóa Cá Nhân ( Private Key), một khóa dùng để mã hóa (thường là Khóa Công Khai) và khóa còn lại dùng để giải mã (thường là Khóa Cá Nhân). -Để chứng nhận tính xác thực về giá trị Khóa Công Khai, CA sẽ sừ dụng Chữ Ký Số (Digital Signature _ viết tắt là DS) của mình để chứng thực thông tin kết hợp gồm : Các Thông Tin Định Danh và Khóa Công Khai của đối tượng để tạo nên Chứng Nhận cho đối tượng đó. Quá trình này được thực hiện bởi phần mềm tại CA và các phần mềm phối hợp mà đối tượng sử dụng. -Khái niệm PKI ngày nay thường được dùng để chỉ toàn bộ các hệ thống sử dụng phương pháp mã hóa thông tin trong giao dịch dựa trên cơ sở kết hợp cặp Khóa Công Khai, Khóa Cá Nhân cùng tất cả các yếu tố liên quan, thành phần liên quan như các Thuật Toán Mã Hóa được sử dụng. Trong phần lớn các trường hợp, để bảo đảm tính xác thực, giá trị Khóa Công Khai cần được chứng thực bởi một CA và được công bố trong Chứng Nhận của đối tượng. àQua đây ta nhận thấy việc PKI đã áp dụng phương pháp “tách khỏi” và phương pháp “trung gian” để tách việc xác thực khóa và xác thực đối tượng giao dịch để thông qua 1 nhà cung cấp thứ 3 mà nhà cung cấp này là những tổ chức có uy tín. 1.3/Phương pháp mã hóa: 1.3.1/Phương pháp mã hóa bất đối xứng: -Nguyên lý:Mã hóa bất đối xứng là quy trình giãi mã và mã hóa là dùng 2 key riêng biệt.Khi một hệ thống sử dụng phương pháp mã hóa bất đối xứng người tham gia giao dịch luôn sử dụng 1 cặp khóa đó là khóa công khai(public key) và 1 khóa bí mật(private key).Khóa bí mật sẽ được giữ kín và khóa công khai sẽ được phổ biến rộng rãi. -Trong quá trình giao dịch những bên tham gia sẽ mã hóa dữ liệu bằng khóa công khai của đối tượng cần gửi và dữ liệu đó sẽ chỉ được giải mã bằng chính khóa bí mật của họ *Mô hình: 1.3.2/Phương pháp mã hóa đối xứng(Synmetric Encryption): -Nguyên lý: là những hệ thống sử dụng cùng thuật toán và mã hóa trong cả 2 công việc mã hóa(Encryption) và giải mã (Decryption).Trong đó việc mã hóa và giải mã sẽ sử dụng chung 1 key (Share key) và cần được giữ bí mật(Secret).Mô hình sử dụng phương pháp mã hóa này sẽ có hiệu suất nhanh chóng và đơn giản nhưng ngược lại khi phát sinh nhiều giao dịch sẽ tạo ra rất nhiều key dẫn đến tình trạng bảo quản và lưu trữ key thực sự không thiết thực *Mô hình: àTừ 2 phương pháp mã hóa trên ta nhận thấy rằng đó chính là việc sử dụng phương pháp linh động.Thay đổi trạng thái của đối tượng từ trạng thái “clear text” thành 1 trạng thái khác với trạng thái ban đầu.Ngoài ra ta cũng thấy còn kết hợp giữa phương pháp đảo ngược với phương pháp giải thiếu hoặc thừa.Thay vì ta phải giấu đi khóa thì ta sẽ áp dụng phương pháp tạo thừa ra 1 key nữa và đồng thời sẽ công bố khóa công khai để mã hóa dữ liệu.Và 1 đặc điểm rất hay của hệ thống mã hóa bất đối xứng là tuy hai khóa này có quan hệ toán học chặt chẽ với nhau nhưng việc dò tìm Khóa bí mật thông qua Khóa công khai trên thực tế được xem như không thể thực hiện. 1.4/Chữ kí số(Digital Signature-DS): -Nguyên lí: Chữ ký số hay còn gọi là chữ ký điện tử có thể được hình dung tương tự như chữ ký viết tay. Chữ ký số được sử dụng trong các giao dịch điện tử.Chữ kí số là thông tin đi kèm theo dữ liệu nhằm mục đích xác nhận người chủ của dữ liệu đó.Để giải thích rõ hơn chúng ta hãy xem mô hình giả lập bên dưới. *Mô hình: $.Truyền dữ liệu giữa 2 UserA và UserB không có sự tác động. $.Đối tượng thứ 3 giả mạo tác động cả 2 bên . àTừ 2 mô hình trên ta nhận thấy việc hacker đã giả mạo và đã sử dụng triệt để nguyên lí trung gian và nguyên lí đảo ngược để đánh lừa người dùng và ăn cắp dữ liệu.Khi không tác động trực tiếp được vào dữ liệu đã mã hóa bằng khóa của người khác,họ sẽ tự tạo ra 1 cặp khóa riêng cho mình và bắt đầu giả danh để thiết lập mối giao dịch.Có thể nói việc giả mạo đối tượng giao dịch là 1 tư duy rất hay của các hacker mũ đen trước khi xuất hiện chữ kí số như 1 câu nói nổi tiếng trong bộ phim hoạt hình”On the Internet,no one knows you’re the dog”.Ở đây ta cũng thấy các hacker mũ đen có áp dụng 1 ít nguyên lý giải “thiếu” hoặc “thừa” khi họ nhận biết thông tin trên Internet không rõ ràng đối với sự tương tác của người dùng có thể đó là 1 chút ảnh hưởng về tâm lí. -Tạo Digital Signature: àTừ mô hình tạo DS ta thấy việc áp dụng nguyên lí kết hợp bằng cách vừa áp dụng tính có lợi của việc Hash dữ liệu và mã hóa nó bằng khóa bí mật trong hệ thống PKI để tạo ra chữ kí số. -Sau đây là mô hình để kiểm chứng và xác nhận nguồn gốc chữ kí và bảo vệ nội dung cho phép lại nội dung xem nội dung có bị sửa chữa hay không 1.5/Certificate và Certification Authiority(CA): -Certificate : là ứng dụng của chữ kí số khi xác thực giá trị khóa công khai(public key) của các đối tượng tham gia giao dịch.Các certificate này được cung cấp bởi các Certification Authiority(CA).Thường để có các certificate ta phải mua của các tổ chức có uy tin như VeriSign chẳng hạn hoặc có thể tự xây dựng một CA nội bộ để giao dịch trong 1 hệ thống đóng. * Bản mã công khai: Thông tin Đối tượng Khóa công khai(Public Key) Xác thực Đối tượng A PKeyA DSignA Đối tượng B PkeyB DSignB Đối tượng D PkeyD DSignD -Trong đó đối tượng D chính là đối tượng tin cậy(Trusted Object): thực hiện xác thực bằng DsignD của mình(vai trò của CA). *Mô hình xác thực cho Đối tượng A: $.Tạo Certificate cho A *Mô hình kiểm chứng thông tin về A giữa các bên giao dịch thông qua D: àTa nhận thấy rằng việc áp dung nguyên lý chứa trong và kết hợp trong việc tạo ra Certificate ở đây là vô cùng sáng tạo và hiệu quả.Thông tin về A và khóa công khai vẫn được công khai nhưng lại ko sợ thông tin bị giả mạo khi có sự đối chiếu về thông tin đã được chứa trong Certificate của mỗi đối tượng khi tham gia giao dịch. *Kết luận: -Bằng 1 số phân tích tôi đã dẫn ra 1 số các nguyên tắc sáng tạo đã được áp dụng trong môi trường tin học cụ thể là môi trường hạ tầng khóa công khai.Với 40 phương pháp luận sáng tạo khoa học cơ bản,các bạn có thể thấy được rất nhiều tình huống trong tin học mà chúng ta có thể sử dụng chúng và giải quyết những vấn đề 1 cách hiệu quả nhất.Đặc biệt đối với môi trường tin học cần sự sáng tạo tôi tin rằng việc nắm vững 40 nguyên tắc sáng tạo cơ bản này sẽ là tiền đề để làm ra những điều mới mẻ hơn để giải quyết những vấn đề vẫn còn chưa có lời giải.