Luận văn cơ bản trình bày được tổng quan về an toàn thư tín điện
tử, các giao thức trong thư điện tử, một số kỹ thuật an toàn bảo mật và một
số phần mềm bảo mật thư. Luận văn đã đưa ra được giải pháp an toàn cho
việc gửi và nhận thư, cài đặt bảo mật thư điện tử trên hệ thống Zimbra Mail
Server cụ thể như sau:
- Cài đặt thành công hệ thống thư điện tử Zimbra thực hiện việc gửi
và nhận thư điện tử.
- Tích hợp chức năng xác thực, bảo mật thư điện tử trên hệ thống
Zimbra Mail Server thực hiện được các chức năng: Gửi thư mã hóa, giải
mã, ký và xác thực nội dung thư cho người dùng. Xây dựng mới ứng dụng
ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop.
- Đã thử nghiệm các chức năng ký số, mã hóa thư, xác thực người
gửi cho bức thư soạn thông thường, hệ thống bảo mật, xác thực thư điện tử
được tích hợp với thiết bị Etoken.
Luận văn đã thực hiện hoàn thành các nội dung theo đề cương đã
được phê duyệt.
Hướng phát triển:
Luận văn có thể được mở rộng và phát triển theo hướng:
- Nghiên cứu xây dựng mô-đun ký số, mã hóa tập tin đính kèm trên
nền tảng Web để hoàn thiện giải pháp bảo mật cho Hệ thống thư điện tử
Zimbra.
- Ngoài ra mô hình giải pháp này có thể nghiên cứu để đưa vào ứng
dụng trong xác thực giao dịch điện tử của nhiều hoạt động nghiệp vụ khác
nhau đang được triển khai tại Việt Nam.
33 trang |
Chia sẻ: yenxoi77 | Lượt xem: 596 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Tóm tắt Luận văn Nghiên cứu và xây dựng giải pháp bảo mật và xác thực thư điện tử dựa trên công nghệ mở, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN QUỐC UY
NGHIÊN CỨU VÀ XÂY DỰNG GIẢI PHÁP
BẢO MẬT VÀ XÁC THỰC THƯ ĐIỆN TỬ
DỰA TRÊN CÔNG NGHỆ MỞ
Ngành: Công nghệ thông tin
Chuyên ngành: Kỹ thuật Phần mềm
Mã số: 60480103
TÓM TẮT LUẬN VĂN THẠC SĨ CÔNG NGHỆ
THÔNG TIN
Hà Nội - 2016
2
Mục Lục
Mục Lục .................................................................................................... 1
Danh mục các ký hiệu, các chữ viết tắt .................................................... 4
Danh mục các hình vẽ, đồ thị ................................................................... 5
MỞ ĐẦU ................................................................................................... 6
Chương 1: TỔNG QUAN VỀ AN TOÀN, BẢO MẬT THƯ ĐIỆN TỬ .. 8
1.1. Đặt vấn đề ...................................................................................... 8
1.2. Hệ thống thư điện tử mã nguồn mở .............................................. 8
1.2.1. Cấu trúc hệ thống thư điện tử ................................................ 8
1.2.2. Các giải pháp thư điện tử mã nguồn mở ............................... 9
1.3. Các hình thức đe dọa an toàn thông tin khi sử dụng thư điện tử . 9
1.3.1. Hiểm hoạ bị đọc lén ................................................................ 9
1.3.2. Vấn đề thu thập ...................................................................... 9
1.3.3. Phân tích đường truyền ......................................................... 9
1.3.4. Giả mạo ................................................................................ 10
1.3.5. Bom thư ................................................................................ 10
1.4. Cơ sở lý thuyết mật mã ................................................................ 10
1.4.1. Mã hóa dữ liệu ...................................................................... 10
1.4.2. Chữ ký số .............................................................................. 12
Chương 2: NGHIÊN CỨU HỆ THỐNG THƯ ĐIỆN TỬ ZIMBRA,
GIẢI PHÁP KÝ SỐ, MÃ HÓA THƯ ĐIỆN TỬ .................................... 14
2.1. Đặt vấn đề .................................................................................... 14
2.2. Kiến trúc hệ thống thư điện tử mã nguồn mở Zimbra ............... 14
3
2.3. Giải pháp ký số, mã hóa thư điện tử ........................................... 15
2.3.1. Giải pháp ký số, mã hóa, xác thực chữ ký, giải mã nội dung
thư điện tử trên nền tảng Web ...................................................... 16
2.3.2. Giải pháp ký số, mã hóa, xác thực, giải mã clipboard trên
nền tảng Desktop ........................................................................... 17
2.4. Phân tích thiết kế và xây dựng ứng dụng ký số, mã hóa thư điện
tử ......................................................................................................... 17
2.4.1. Lược đồ Ký số – Mã hóa nội dung thư điện tử .................... 17
2.4.2. Lược đồ Xác thực – Giải mã nội dung thư điện tử .............. 20
2.4.3. Xây dựng giao diện ký số, bảo mật tích hợp trong hệ thống
Zimbra ........................................................................................... 21
2.4.4. Ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng
Desktop........................................................................................... 23
2.4.5. Tính năng mật mã của giải pháp ......................................... 26
Chương 3: CÀI ĐẶT, THỬ NGHIỆM GIẢI PHÁP KÝ SỐ, MÃ HÓA
THƯ ĐIỆN TỬ ....................................................................................... 27
3.1. Đặt vấn đề .................................................................................... 27
3.2. Phương pháp, mô hình triển khai thử nghiệm............................ 27
3.3. Nội dung, kết quả thử nghiệm ..................................................... 27
KẾT LUẬN ............................................................................................. 30
DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ ................. 31
TÀI LIỆU THAM KHẢO ...................................................................... 32
4
Danh mục các ký hiệu, các chữ viết tắt
AES Tiêu chuẩn mã hóa tiên tiến (Advanced Encryption
Standard).
CBC Chế độ liên kết khối mã (Cipher block Chaining)
CMS Cú pháp mã hóa thông điệp
CRL Danh sách hủy bỏ/thu hồi chứng thư số (Certificate
Revocation List)
HTML Ngôn ngữ đánh dấu siêu văn bản (HyperText Markup
Language)
IMAP Internet Message Access Protocol
LDAP Lightweight Directory Access Protocol
MAC Mã xác thực thông báo
MDA Mail Delivery Agent
MIME Multipurpose Internet Mail Extensions
MTA Mail Transfer Agent
MUA Mail User Agent
PKCS Tiêu chuẩn mật mã khoá công khai (Puplic Key
Cryptography Standard) do Phòng thí nghiệm RSA (Mỹ)
ban hành.
PSS Lược đồ ký xác suất (Probabilistic Signature Scheme ).
RFC Request For Comment
RSA Tên của hệ mã do ba nhà toán học Rivest, Shamir và
Adleman sáng tạo ra.
RSASSA Lược đồ ký RSA kèm phụ lục (RSA Signature Scheme
with Appendix).
SHA Thuật toán băm an toàn (Secure Hash Algorithm).
SMTP Simple Mail Transfer Protocol
TDEA Thuật toán mã dữ liệu bội ba (TDEA-Triple Data
Encryption Algorithm)
ZCS Zimbra Collaboration Suite
5
Danh mục các hình vẽ, đồ thị
Hình 1.1: Sơ đồ tổng quan hệ thống thư điện tử ......................................... 8
Hình 1.6: Mô tả quá trình tạo và kiểm tra chữ ký số [3] ........................... 13
Hình 2.1: Kiến trúc hệ thống Zimbra [8] ................................................. 15
Hình 2.4: Mô hình ký số, mã hóa, xác thực chữ ký, giải mã nội dung thư
trên nền tảng Web ................................................................................... 16
Hình 2.6: Mô hình ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng
Desktop .................................................................................................. 17
Hình 2.7: Lược đồ Ký số - Mã hóa nội dung thư điện tử .......................... 18
Hình 2.8: Lược đồ ký số dữ liệu có dấu thời gian .................................... 19
Hình 2.10: Lược đồ Xác thực - Giải mã nội dung thư điện tử................... 20
Hình 2.11: Lược đồ xác thực ký số có dấu thời gian ................................ 21
Hình 2.17: Giao diện soạn thảo thư có tích hợp chức năng bảo mật ......... 21
Hình 2.18: Giải mã nội dung thư ............................................................. 22
Hình 2.19: Xác thực nội dung thư ........................................................... 22
Hình 2.22: Giao diện ký số và mã hóa dữ liệu ......................................... 23
Hình 2.23: Giao diện xác thực dữ liệu ..................................................... 23
Hình 2.24: Giao diện giải mã và xác thực dữ liệu .................................... 24
Hình 2.25: Giao diện ký số nội dung thư điện tử ..................................... 24
Hình 2.26: Giao diện xác thực nội dung thư điện tử ................................. 25
Hình 2.27: Giao diện quản lý chứng thư số.............................................. 25
Hình 3.12: Sơ đồ mô hình thử nghiệm hệ thống bảo mật thư điện tử ........ 27
6
MỞ ĐẦU
Trong thời gian gần đây, thư điện tử đã trở thành một công cụ hữu
hiệu trong việc trao đổi thông tin, góp phần quan trọng vào nâng cao hiệu
quả công việc, năng suất lao động, giảm thời gian thực hiện và chi phí hoạt
động. Các thông tin nhạy cảm và quan trọng cũng được trao đổi, lưu trữ
dưới hình thức thư điện tử. Chính vì thế thư điện tử trở thành một mục tiêu
tấn công, phá hoại của tin tặc với nhiều vấn đề liên quan đến mất an toàn
thông tin như: Lộ lọt thông tin bí mật, nhạy cảm; Phát tán thư giả mạo, có
nội dung lừa đảo hoặc quảng cáo không phù hợp; Phát tán, lây lan mã độc,
phần mềm quảng cáo trái phép; Chiếm quyền sử dụng trái phép; Bị lợi
dụng để phục vụ cho mục đích xấu.
Các cơ chế an toàn sử dụng mật mã đã trở thành một nhân tố cốt lõi
của hệ thống thông tin nói chung và thư điện tử nói riêng. Các cơ chế mật
mã được phát triển để giải quyết các vấn đề về an toàn cho hệ thống thư
điện tử, bao gồm:
1. Xác thực: đảm bảo ngăn chặn giả mạo nguồn gốc thông tin;
2. Bí mật dữ liệu: dữ liệu được mã hóa để đảm bảo không thể
xem/đọc được bởi bên thứ 3 không được phép;
3. Toàn vẹn dữ liệu: khi thông tin bị sửa đổi trái phép, người sở
hữu thông tin sẽ có khả năng phát hiện sự thay đổi này;
4. Chống chối bỏ: chống việc chối bỏ cái mà mình đã thỏa thuận
và ký nhận.
Các vấn đề trên được phát triển do sự xuất hiện của các tấn công
như nghe lén, giả mạo, vi phạm tính bí mật dữ liệu, vi phạm tính toàn vẹn
dữ liệu, từ chối việc ký nhận. Nếu không có mật mã, không thể xây dựng
được các cơ chế an toàn để đảm bảo chống lại các tấn công này.
Với mong muốn nghiên cứu tìm hiểu giải pháp bảo đảm bảo an
toàn cho thư điện tử sử dụng mật mã em đã lựa chọn luận văn “Nghiên cứu
và xây dựng giải pháp bảo mật và xác thực thư điện tử dựa trên công
nghệ mở”.
Đối tượng và phạm vi nghiên cứu của luận văn:
- Hệ thống thư điện tử mã nguồn mở Zimbra.
- Phạm vi nghiên cứu được giới hạn trên hệ điều hành mã nguồn
mở và Hệ thống thư điện tử mã nguồn mở.
7
Bố cục của luận văn gồm các phần sau:
Mở đầu
Chương 1: Tổng quan về an toàn, bảo mật thư điện tử
Chương 2: Nghiên cứu hệ thống thư điện tử zimbra, giải pháp ký
số, mã hóa thư điện tử
Chương 3: Cài đặt, thử nghiệm giải pháp ký số, mã hóa thư điện tử
Kết luận và Kiến nghị
Giá trị của luận văn
Luận văn đã trình bày tổng thể các nghiên cứu về hệ thống thư điện
tử mã nguồn mở Zimbra, đề xuất xây dựng được ứng dụng để đảm bảo tính
bí mật, xác thực và toàn vẹn nội dung thư điện tử.
Sản phẩm của đề tài có tính ứng dụng thực tiễn, có thể sử dụng
trong lĩnh vực kinh tế - xã hội. Ngoài ra Mô hình giải pháp này có thể
nghiên cứu để đưa vào ứng dụng trong xác thực giao dịch điện tử của nhiều
hoạt động nghiệp vụ khác nhau đang được triển khai tại Việt Nam.
8
Chương 1: TỔNG QUAN VỀ AN TOÀN, BẢO MẬT THƯ ĐIỆN TỬ
1.1. Đặt vấn đề
Hiện nay trên thế giới đã xuất hiện rất nhiều sản phẩm xây dựng
một hệ thống thư điện tử từ sản phẩm mã nguồn đóng đến những sản phẩm
mã nguồn mở. Mỗi loại sản phẩm đều có những ưu điểm và nhược điểm
riêng. Trong quá trình sử dụng thư điện tử người dùng phải đối mặt với
nhiều rủi ro liên quan đến an toàn thông tin. Chương này của Luận văn sẽ
nghiên cứu tổng quan về hệ thống thư điện tử, các hình thức đe dọa an toàn
thông tin khi sử dụng thư điện tử và cơ sở lý thuyết về mật mã sẽ sử dụng
để đề xuất giải pháp bảo mật thông tin thư điện tử.
1.2. Hệ thống thư điện tử mã nguồn mở
1.2.1. Cấu trúc hệ thống thư điện tử
Thư điện tử (Electronic Mail) hay còn gọi tắt là E-Mail, là dịch vụ
được triển khai trên các mạng máy tính cho phép người dùng có thể trao
đổi thư từ với nhau mà không phải dùng đến giấy tờ như trong hệ thống thư
tín bưu chính thông thường. Hệ thống Mail Server là một hệ thống tổng thể
bao gồm nhiều thành phần hoạt động tương tác với nhau. Mỗi thành phần
bản thân phục vụ các dịch vụ khác nhau, nhưng đồng thời các kết quả lại
được đưa đến các thành phần khác để xử lý tiếp theo. Hình 1.1 dưới đây là
mô hình của hệ thống Mail Server và sự tương tác giữa các thành phần bên
trong:
Hình 1.1: Sơ đồ tổng quan hệ thống thư điện tử
9
Hầu hết hệ thống thư điện tử bao gồm ba thành phần cơ bản là
MUA, MTA và MDA.
1.2.2. Các giải pháp thư điện tử mã nguồn mở
Hiện nay trên thế giới đã xuất hiện rất nhiều sản phẩm xây dựng
một hệ thống Mail Server. Có nhiều sản phẩm với giá cả rất rẻ (thậm chí
miễn phí), nhỏ gọn, cài đặt và quản trị đơn giản, như WorkGroupMail,
Surge Mail Server, Kerio Mail Server. Cũng có những sản phẩm lớn, giá
thành cao, tính năng phong phú, đáp ứng được sự ổn định và an toàn như
Mail Exchange của Microsoft, Merak Mail Server
Trong thế giới mã nguồn mở hiện nay, đã có rất nhiều hệ thống
truyền tải thư điện tử MTA (Mail Transfer Agent) được phát triển. Nổi
tiếng và phổ biến trong số đó gồm có: Zimbra, Sendmail, Qmail, Postfix,
Exim, Courier. Mỗi MTA đều có những ưu điểm và nhược điểm riêng.
1.3. Các hình thức đe dọa an toàn thông tin khi sử dụng thư
điện tử
1.3.1. Hiểm hoạ bị đọc lén
Cũng như đối với các ứng dụng khác trên mạng (các phiên đăng
nhập từ xa, tải thông tin sử dụng ftp, hội thoại trực tuyến, ...), thư tín điện
tử cũng có thể bị đọc lén. Nhưng ai là đối tượng muốn đọc lén nội dung thư
của người dùng? Câu trả lời phụ thuộc vào họ là ai, họ đang làm gì, và ai
quan tâm đến việc họ đang làm. Một vài đối tượng có thể đọc lén thư của
người dùng như: chính phủ nước ngoài; chính phủ trong nước; cạnh tranh
thương mại; tội phạm; bạn bè, người thân
1.3.2. Vấn đề thu thập
Vấn đề lớn nhất khi muốn đọc một thông điệp được gửi qua đường
thư tín điện tử của một ai đó là việc tìm nó giữa một biển các thông điệp
thư tín điện tử khác trên mạng. Công việc này được người ta ví như việc
“mò kim đáy biển”. Tuy là một công việc khó khăn nhưng hiện vẫn có các
cơ quan hoặc tổ chức được sinh ra để làm công việc đó. Chẳng hạn, một
trong các công việc chính của NSA, NSA giám sát các luồng dữ liệu máy
tính vào, ra nước Mỹ và giữa các nước khác với nhau.
1.3.3. Phân tích đường truyền
Trong trường hợp nội dung thư được mã hoá, đối tượng đọc trộm
(NSA chẳng hạn) không thể đọc nội dung thư điện tử, họ có thể thu thập
10
được một lượng thông tin không nhỏ thông qua việc phân tích đường
truyền.
Việc phân tích đường truyền dựa vào một trong các yếu tố như:
người gửi gửi thư điện tử cho ai, người nhận nhận thư điện tử từ ai, độ dài
của các thông điệp thư điện tử, hoặc khi nào thư điện tử được gửi. Có rất
nhiều thông tin ẩn chứa trong các yếu tố kiểu như vậy nếu họ biết cách khai
thác. Việc phân tích đường truyền thư điện tử là một công cụ thông minh
trong việc ăn cắp thông tin cá nhân.
1.3.4. Giả mạo
Giả mạo là một vấn đề an toàn khác trên mạng máy tính nói chung.
Khái niệm ngắn nhất về giả mạo là việc người này giả danh là một người
khác. Việc giả mạo có thể xuất phát từ mục đích trêu đùa, làm mất danh dự,
bôi nhọ người khác hoặc là công cụ để lừa gạt.
Hiểm hoạ mạo danh có thể được khắc phục thông qua việc sử dụng
chữ ký điện tử.
1.3.5. Bom thư
Một số loại bom thư:
- Thư điện tử thương mại tự nguyện (UCE - Unsolicited
Commercial Email).
- Thư điện tử gửi hàng loạt (UBE - Unsolicited Bulk Email).
- Các thông điệp thư điện tử kiếm tiền nhanh (MMF - Make Money
Fast)
1.4. Cơ sở lý thuyết mật mã
1.4.1. Mã hóa dữ liệu
Trong lĩnh vực bảo vệ thông tin, các thuật toán mật mã được sử
dụng để giải quyết ba vấn đề cơ bản: bảo mật dữ liệu, xác thực nguồn gốc
và đảm bảo tính toàn vẹn của dữ liệu.
Các thuật toán mã hóa dữ liệu, đó là những thuật toán biến đổi dữ
liệu rõ (tức ở dạng đọc hiểu, được gọi là bản rõ-plaintext hay cleartext)
sang một dạng mà người không có thẩm quyền sẽ không thể đọc hiểu (được
gọi là bản mã-ciphertext). Quá trình biến đổi này được gọi là mã hoá, quá
trình ngược lại, từ bản mã tìm ra bản rõ được gọi là giải mã.
11
Để thực hiện mã hoá và giải mã người gửi cũng như người nhận
cần sở hữu một yếu tố bí mật được gọi là khoá (tương ứng ký hiệu là 1k và
2k ). Gọi M và C tương ứng là bản rõ và bản mã, 1kE và 2kD tương ứng là
phép mã hoá và giải mã, khi đó các quá trình mã hoá và giải mã được viết
dưới dạng:
1
2
( )
( )
k
k
E M C
D C M
Căn cứ vào quan hệ giữa khoá mã hoá và khoá giải mã, người ta
phân biệt hai loại thuật toán mật mã: Thuật toán mã đối xứng và thuật toán
mã phi đối xứng.
- Trong thuật toán mã đối xứng, khoá giải mã 2k được tính ra từ
khoá mã hoá 1k (trường hợp riêng thì 1 2k k ), khóa phải được
giữ bí mật và chỉ biết bởi người gửi và người nhận. Ví dụ:
thuật toán TDEA, thuật toán AES,
- Trong thuật toán mã phi đối xứng khóa mã và khóa giải mã
khác nhau, biết khoá mã hoá 1k , không thể tính ra được khoá
giải mã 2k theo nghĩa độ phức tạp tính toán, khóa giải mã (hay
khóa riêng) phải được giữ bí mật duy nhất bởi người sử dụng.
Ví dụ: thuật toán RSA, thuật toán Elgamal
Thuật toán mã đối xứng lại được chia thành hai loại: thuật toán mã
dòng và thuật toán mã khối. Thuật toán mã dòng thực hiện mã hoá từng ký
tự của bản rõ, trong khi thuật toán mã khối chia bản rõ rõ thành từng khối
có độ dài cố định (thường là 64 hoặc 128 bit) và thực hiện mã hoá lần lượt
từng khối.
Cả hai loại thuật toán mã đối xứng và mã phi đối xứng đều có thể
sử dụng để mã hoá dữ liệu. Tuy nhiên thuật toán mã phi đối xứng có tốc độ
mã hoá chậm hơn nhiều so với mật mã đối xứng, do đó các thuật toán loại
này ít khi được sử dụng để trực tiếp mã hoá dữ liệu, nhất là với dữ liệu có
khối lượng lớn. Chúng chủ yếu được sử dụng để thiết kế các giao thức phân
phối khoá (như truyền khoá từ một thực thể tới một thực thể khác) và xác
thực trên mạng liên lạc (như tạo chữ ký số của người dùng).
12
Như vậy để mã dữ liệu người ta chủ yếu sử dụng mã khối và mã
dòng.
1.4.2. Chữ ký số
Trong giao dịch giấy tờ truyền thống chữ ký tay là phương tiện để
xác thực nguồn gốc và nội dung của văn bản. Chữ ký tay còn có khả năng
chống chối bỏ, nghĩa là người gửi sau khi đã ký vào văn bản thì không thể
chối bỏ chữ ký của mình và văn bản sau khi được ký thì không thể thay đổi
được nội dung. Đối với văn bản điện tử chữ ký tay không còn đảm bảo
được các tính năng nói trên, vì vậy chữ ký số điện tử (gọi tắt là chữ ký số)
được sử dụng để thay thế vai trò của chữ ký tay.
Chữ ký số được biểu diễn dưới dạng một chuỗi số nhị phân. Nó
được tạo ra trên cơ sở sử dụngtập hợp các quy tắc và tập hợp các tham số
để xác định danh tính người gửi (người ký) cũng như kiểm tra tính toàn vẹn
của dữ liệu. Phương tiện cơ bản để thực hiện chữ ký số là kỹ thuật mật mã.
Mỗi chữ ký số được thể hiện trên một lược đồ xác định gọi là lược đồ chữ
ký số. Lược đồ này bao gồm ba thành tố: thuật toán chữ ký số, thuật toán
hàm băm và thuật toán tạo số giả ngẫu nhiên. Thuật toán chữ ký số gồm
thuật toán ký và thuật toán kiểm tra. Người gửi sử dụng thuật toán ký và
khóa bí mật để tạo ra chữ ký số, người nhận (người kiểm tra) sử dụng thuật
toán kiểm tra và khóa công khai tương ứng để kiểm tra đồng thời tính chân
thực của thông điệp dữ liệu và tính chân thực của chữ ký số do người gửi
tạo ra. Mỗi người sở hữu một cặp khóa bao gồm khoá công khai (giả thiết
là được công bố một cách công khai) và khoá bí mật (được giữ bí mật tuyệt
đối). Bất kỳ ai cũng có thể kiểm tra chữ ký số của một người nào đó bằng
cách sử dụng khóa công khai của người này. Quá trình tạo chữ ký số chỉ có
thể được thực hiện bởi người sở hữu khoá bí mật. Thuật toán hàm băm là
biến đổi toán học dùng để thu gọn văn bản ban đầu (còn gọi là thông điệp
dữ liệu) nhằm tạo ra bản tóm lược của thông điệp. Bản tóm lược này sẽ là
đầu vào của thuật toán tạo chữ ký số. Chữ ký số được đính kèm với thông
điệp dữ liệu đã được ký. Trong quá trình kiểm tra chữ ký số, thuật toán hàm
băm cũng được áp dụng như trong quá trình tạo chữ ký. Thuật toán tạo số
giả ngẫu nhiên dùng để tạo ra các số giả ngẫu nhiên (độc lập, đồng xác
suất) làm tham số trong lược đồ chữ ký số (xem Hình 1.6).
13
Hình 1.6: Mô tả quá trình tạo và kiểm tra chữ ký số
14
Chương 2: NGHIÊN CỨU HỆ THỐNG THƯ ĐIỆN TỬ ZIMBRA,
GIẢI PHÁP KÝ SỐ, MÃ HÓA THƯ ĐIỆN TỬ
2.1. Đặt vấn đề
Trong chương này Luận văn sẽ đi vào nghiên cứu kiến trúc của hệ
thống thư điện tử mã nguồn mở Zimbra và đề xuất giải pháp ký số, mã hóa
thư điện tử. Nội dung của chương sẽ được trình bày thành 2 phần chính:
Phần 1: Kiến trúc hệ thống thư điện tử mã nguồn mở Zimbra,
nghiên cứu cụ thể về kiến trúc của Zimbra. Từ đó làm cơ sở để nghiên cứu
giải pháp bổ sung thêm các chức năng còn thiếu để bảo mật thông tin thư
điện tử.
Phần 2: Giải pháp ký số, mã hóa thư điện tử, một trong những
vấn đề quan trọng nhất để trao đổi thư điện tử an toàn là phải đảm bảo tính
bí mật, toàn vẹn và xác thực được nội dung thư trong quá trình gửi nhận.
Phần này Luận văn sẽ đề xuất sử dụng chữ ký số và mã hóa dữ liệu để bảo
mật cho hệ thống thư điện tử Zimbra.
2.2. Kiến trúc hệ thống thư điện tử mã nguồn mở Zimbra
Kiến trúc Zimbra bao gồm những lõi sau:
- Các mã nguồn mở tích hợp trong Zimbra: Linux®, Apache
Tomcat, Postfix, MySQL®, OpenLDAP®.
- Giao thức chuẩn được sử dụng là: SMTP, LMTP, SOAP,
XML, IMAP, POP.
- Công nghệ được sử dụng để thiết kế là: Java, JavaScript thin
client, DHTML.
- Trình duyệt dựa trên giao diện giao diện khách hàng, giao diện
này cho phép người dùng dễ dàng truy cập vào tất cả các chức
năng của Zimbra Collaboration Suite (ZCS).
Hình 2.1 cho thấy kiến trúc hệ thống Zimbra:
15
Hình 2.1: Kiến trúc hệ thống Zimbra
2.3. Giải pháp ký số, mã hóa thư điện tử
Hệ thống thư điện tử mật phải đảm bảo được các yêu cầu sau:
1. Phải đảm bảo được an toàn thông tin về tài khoản khi kết nối
đến server.
2. Các thông điệp gửi và nhận giữa các user phải được mã hóa để
đảm bảo an toàn dữ liệu trên đường truyền.
16
3. Phải xác thực được nội dung các thông điệp và xác thực được
người gửi.
4. Các thao tác khi ứng dụng hệ thống bảo mật vào dịch vụ thư
điện tử phải đơn giản với người dùng.
Hệ thống thư điện tử Zimbra cung cấp một hệ thống hoàn chỉnh để
triển khai dịch vụ email (cả server và client) và môi trường chia sẻ công tác
phục vụ cho quản lý và công việc, tuy nhiên với các chức năng nghiệp vụ
chuyên biệt như ký số, mã hóa, giải mã, xác thực nội dung thư thì
Zimbra chưa cung cấp. Vì vậy, em đề xuất xây dựng giải pháp bảo mật
thư điện tử sử dụng hạ tầng khóa công khai (PKI). Giải pháp bao gồm việc
phát triển 2 ứng dụng bảo mật thư điện tử trên công nghệ mở:
- Xây dựng và tích hợp ứng dụng bảo mật thư dựa trên Zimlet và tích
hợp với ứng dụng thư Zimbra (xây dựng trên nền tảngWeb).
- Ứng dụng bảo mật thư điện tử trên nền tảng Destop.
2.3.1. Giải pháp ký số, mã hóa, xác thực chữ ký, giải mã nội
dung thư điện tử trên nền tảng Web
Hệ thống thư điện tử Zimbra cung cấp Zimbra web client với giao
diện người dùng trên nền web và làm việc trực tuyến (online). Mọi thông
tin sẽ lưu trên máy chủ Zimbra. Để theo dõi nhận dạng người gửi và đảm
bảo tính bí mật, xác thực và toàn vẹn nội dung thư sau khi họ gửi, hệ thống
cần cung cấp cho người dùng khả năng để ký số, mã hóa nội dung thư được
gửi đi.
Hình 2.4: Mô hình ký số, mã hóa, xác thực chữ ký, giải mã nội dung thư
trên nền tảng Web
17
Người gửi sau khi soạn thảo nội dung thư điện tử trên Webform có
thể ký số, mã hóa nội dung thư và gửi lên Mail Server. Người nhận sẽ tải
dữ liệu đã ký số, mã hóa lên Webform trên máy tính của mình và tiến hành
xác thực chữ ký số, giải mã nội dung thư.
2.3.2. Giải pháp ký số, mã hóa, xác thực, giải mã clipboard trên
nền tảng Desktop
Hình 2.6: Mô hình ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng
Desktop
2.4. Phân tích thiết kế và xây dựng ứng dụng ký số, mã hóa thư
điện tử
2.4.1. Lược đồ Ký số – Mã hóa nội dung thư điện tử
18
Hình 2.7: Lược đồ Ký số - Mã hóa nội dung thư điện tử
19
Quá trình ký số, mã hóa nội dung thư điện tử là kết hợp của 2 quá
trình, quá trình ký số lên dữ liệu sau đó mã hóa dữ liệu đã được ký.
Khuôn dạng chữ ký đầu ra gồm các thông tin chính sau: Dữ liệu
ký; Tên hàm băm được sử dụng; Chữ ký số; Chứng thư số người ký; ID
người ký;
Khuôn dạng dữ liệu mã đầu ra sẽ bao gồm các thông tin sau:Tên
thuật toán mã hóa đối xứng; Dữ liệu mã; Khóa đối xứng được mã; Các ID
người nhận và tên thuật toán mã hóa công khai.
Quy trình ký gắn dấu thời gian được thể hiện trên Hình 2.8. Dữ liệu
ký gồm: Dữ liệu gốc; Tên hàm băm; Chữ ký số; ID người ký; Chứng thư số
người ký; Dấu thời gian.
Hình 2.8: Lược đồ ký số dữ liệu có dấu thời gian
20
2.4.2. Lược đồ Xác thực – Giải mã nội dung thư điện tử
Hình 2.10: Lược đồ Xác thực - Giải mã nội dung thư điện tử
Quá trình xác thực, giải mã dữ liệu là quá trình ngược lại và là kết
hợp quả 2 quá trình, quá trình giải mã dữ liệu và quá trình xác thực chữ ký.
21
Xác thực chữ ký sử dụng các dịch vụ chứng thực
Hình 2.11: Lược đồ xác thực ký số có dấu thời gian
Quá trình xác thực chữ ký được thực hiện ngược lại, và cũng sử
dụng các thuật toán xác thực cơ bản đã thiết kết trong thư viện chuẩn của
Java, tuy nhiên dấu thời gian và chứng thư số của người ký và của máy chủ
cấp dấu thời gian sẽ được kiểm tra trước khi xác thực chữ ký.
2.4.3. Xây dựng giao diện ký số, bảo mật tích hợp trong hệ
thống Zimbra
Hình 2.17: Giao diện soạn thảo thư có tích hợp chức năng bảo mật
22
Hình 2.18: Giải mã nội dung thư
Hình 2.19: Xác thực nội dung thư
23
2.4.4. Ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng
Desktop
Hình 2.22: Giao diện ký số và mã hóa dữ liệu
Hình 2.23: Giao diện xác thực dữ liệu
24
Hình 2.24: Giao diện giải mã và xác thực dữ liệu
Hình 2.25: Giao diện ký số nội dung thư điện tử
25
Hình 2.26: Giao diện xác thực nội dung thư điện tử
Hình 2.27: Giao diện quản lý chứng thư số
26
2.4.5. Tính năng mật mã của giải pháp
Phần mềm nguồn mở sử dụng phát triển
- Hệ thống thư điện tử Zimbra.
- Thư viện mật mã mã nguồn mở Bouncy Castle Crypto APIs.
Tiêu chuẩn mật mã đáp ứng
- Chuẩn khuôn dạng chứng thư số X509 v3, phần mềm có thể sử
dụng cho các chứng thư số của các nhà cung cấp dịch vụ chứng
thực chữ ký số có định dạng chuẩn X509 v3.
- Chuẩn khuôn dạng CRL và chứng thư số theo RFC 3280
(Certificate and Certificate Revocation List (CRL) Profile).
- Mã hóa phi đối xứng: Áp dụng PKCS#1 phiên bản 2.1, Áp
dụng lược đồ RSAES-OAEP để mã hoá.
- Chữ ký số: Áp dụng PKCS#1 phiên bản 2.1, sử dụng lược đồ
RSASSA-PSS để ký.
- Chuẩn mã hóa đối xứng: Sử dụng AES (128 bit) sử dụng chế
độ CBC.
- Hàm băm mật mã: SHA-1, SHA-256.
- Chuẩn khuôn dạng chữ ký số CMS/PKCS#7.
- Chuẩn gắn dấu thời gian Time-Stamp Protocol RFC 3161.
27
Chương 3: CÀI ĐẶT, THỬ NGHIỆM GIẢI PHÁP KÝ SỐ, MÃ HÓA
THƯ ĐIỆN TỬ
3.1. Đặt vấn đề
Trong chương này Luận văn sẽ đi vào mô tả ứng dụng ký số, mã
hóa cho hệ thống thư điện tử mã nguồn mở Zimbra, trình bày phương pháp
thử nghiệm và kết quả triển khai thử nghiệm của giải pháp đã đề xuất.
3.2. Phương pháp, mô hình triển khai thử nghiệm
Mô hình triển khai thử nghiệm
Router
Server
Zimbra
LAN
Database
Server
Hình 3.12: Sơ đồ mô hình thử nghiệm hệ thống bảo mật thư điện tử
Phương pháp thử nghiệm
Để kiểm tra các chức năng phần mềm, phương pháp sử dụng là
kiểm tra khả năng đáp ứng của các chức năng mô tả.
3.3. Nội dung, kết quả thử nghiệm
Bảng 1 : Yêu cầu thử nghiệm hệ thống bảo mật và xác thực thư
điện tử
STT Chức năng Yêu cầu cần đạt Kết quả
01 Hệ thống thư điện tử
mã nguồn mở Zimbra
- Đáp ứng được các yêu
cầu của một hệ thống thư
điện tử
Khả năng
đáp ứng
02
Chức năng ký số nội
dung thư điện tử trên
ứng dụng bảo mật thư
điện tử trên nền
- Ký số nội dung thư thông
qua clipboard.
- Ký số sử dụng chuẩn chữ
ký số PKCS#7, hàm băm
Khả năng
đáp ứng
28
Desktop mật mã SHA-1 và thiết bị
lưu khóa.
03
Chức năng xác thực
nội dung thư điện tử
trên ứng dụng bảo
mật thư điện tử trên
nền Desktop
- Xác thực được nội dung
đã ký với chuẩn chữ ký
số PKCS#7, hàm băm
mật mã SHA-1.
Khả năng
đáp ứng
04
Chức năng mã hoá
nội dung thư điện tử
trên ứng dụng bảo
mật thư điện tử trên
nền Desktop
- Mã hoá nội dung thư sử
dụngthuật toán mã hóa
AES chế độ CBC, thuật
toán trao đổi khóa RSA.
Khả năng
đáp ứng
05 Chức năng giải mã
nội dung thư điện tử
trên ứng dụng bảo
mật thư điện tử trên
nền Desktop
- Giải mã nội dung thư sử
dụngthuật toán mã hóa
AES, thuật toán trao đổi
khóa RSA.
Khả năng
đáp ứng
06 Chức năng ký số nội
dung thư điện tử tích
hợp trong hệ thống
thư Zimbra
- Ký số sử dụng chuẩn chữ
ký số PKCS#7, hàm băm
mật mã SHA-1 và thiết bị
etoken.
Khả năng
đáp ứng
07 Chức năng xác thực
nội dung thư điện tử
tích hợp trong hệ
thống thư Zimbra
- Xác thực được nội dung
đã ký với chuẩn chữ ký
số PKCS#7, hàm băm
mật mã SHA-1.
Khả năng
đáp ứng
08 Chức năng mã hoá
nội dung thư điện tử
tích hợp trong hệ
thống thư Zimbra
- Mã hoá nội dung thư sử
dụngthuật toán mã hóa
AES, thuật toán trao đổi
khóa RSA.
Khả năng
đáp ứng
09 Chức năng giải mã
nội dung thư điện tử
tích hợp trong hệ
thống thư Zimbra
- Giải mã nội dung thư sử
dụngthuật toán mã hóa
AES, thuật toán trao đổi
khóa RSA.
Khả năng
đáp ứng
29
10 Tích hợp mật mã khóa
công khai trong hệ
thống bảo mật thư
điện tử
- Tất cả các thao tác ký số,
xác thực, mã hóa, giải mã
trong hệ thống thư điện tử
có bảo mật đều phải sử
dụng thiết bị lưu khóa.
Khả năng
đáp ứng
Bảng 2: Kết quả thử nghiệm hệ thống bảo mật và xác thực thư điện tử
STT Chức năng Kết quả
01
Chức năng ký số nội dung thư điện tử:
Yêu cầu: Ký số sử dụng chuẩn chữ ký số PKCS#7,
hàm băm mật mã SHA-1 và thiết bị etoken.
Đạt
02
Chức năng xác thực nội dung thư điện tử:
Yêu cầu: Xác thực được nội dung đã ký với chuẩn
chữ ký số PKCS#7, hàm băm mật mã SHA-1.
Đạt
03
Chức năng mã hoá nội dung thư điện tử :
Yêu cầu: Mã hoá nội dung thư sử dụngthuật toán mã
hóa AES, thuật toán trao đổi khóa RSA.
Đạt
04
Chức năng giải mã nội dung thư điện tử :
Yêu cầu: Giải mã nội dung thư sử dụngthuật toán
mã hóa AES, thuật toán trao đổi khóa RSA.
Đạt
05
Tích hợp mật mã khóa công khai trong hệ thống bảo
mật thư điện tử :
Yêu cầu: Tất cả các thao tác ký số, xác thực, mã
hóa, giải mã trong hệ thống thư điện tử có bảo mật
đều phải sử dụng thiết bị lưu khóa.
Đạt
Kết luận chương: Chương này đã mô tả được ứng dụng ký số, mã
hóa phát triển cho hệ thống thư điện tử Zimbra, cài đặt và thử nghiệm các
chức năng của ứng dụng và đánh giá khả năng đáp ứng của các chức năng
đó.
30
KẾT LUẬN
Luận văn cơ bản trình bày được tổng quan về an toàn thư tín điện
tử, các giao thức trong thư điện tử, một số kỹ thuật an toàn bảo mật và một
số phần mềm bảo mật thư. Luận văn đã đưa ra được giải pháp an toàn cho
việc gửi và nhận thư, cài đặt bảo mật thư điện tử trên hệ thống Zimbra Mail
Server cụ thể như sau:
- Cài đặt thành công hệ thống thư điện tử Zimbra thực hiện việc gửi
và nhận thư điện tử.
- Tích hợp chức năng xác thực, bảo mật thư điện tử trên hệ thống
Zimbra Mail Server thực hiện được các chức năng: Gửi thư mã hóa, giải
mã, ký và xác thực nội dung thư cho người dùng. Xây dựng mới ứng dụng
ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop.
- Đã thử nghiệm các chức năng ký số, mã hóa thư, xác thực người
gửi cho bức thư soạn thông thường, hệ thống bảo mật, xác thực thư điện tử
được tích hợp với thiết bị Etoken.
Luận văn đã thực hiện hoàn thành các nội dung theo đề cương đã
được phê duyệt.
Hướng phát triển:
Luận văn có thể được mở rộng và phát triển theo hướng:
- Nghiên cứu xây dựng mô-đun ký số, mã hóa tập tin đính kèm trên
nền tảng Web để hoàn thiện giải pháp bảo mật cho Hệ thống thư điện tử
Zimbra.
- Ngoài ra mô hình giải pháp này có thể nghiên cứu để đưa vào ứng
dụng trong xác thực giao dịch điện tử của nhiều hoạt động nghiệp vụ khác
nhau đang được triển khai tại Việt Nam.
31
DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ
LIÊN QUAN ĐẾN LUẬN VĂN
- Thành viên đề tài cấp nhà nước KC01.02/11-15 “Xây dựng giải pháp bảo
mật hệ thống thông tin dựa trên công nghệ mở”.
- Hồ Văn Hương, Nguyễn Quốc Uy, Giải pháp bảo mật cơ sở dữ liệu ứng
dụng mã nguồn mở, Tạp chí An toàn thông tin số 03 (027) năm 2013.
- Hồ Văn Hương, Nguyễn Quốc Uy, Nguyễn Anh Đoàn, Tích hợp giải
pháp bảo mật và xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa
học và Công nghệ Quân sự số 28, 12/2013.
- Hồ Văn Hương, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo
mật và xác thực cho văn phòng điện tử, Kỷ yếu Hội nghị Quốc gia về Điện
tử và Truyền thông (REV2013-KC01), tổ chức tại Đại học CN- Đại học
Quốc gia Hà nội, 17-18/12/2013.
- Hồ Văn Hương, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo
mật và xác thực thư điện tử, Tạp chí An toàn thông tin số 04 (028), 2013.
- Hồ Văn Hương, Đào Thị Ngọc Thuỳ, Hoàng Chiến Thắng, Nguyễn Quốc
Uy, Nghiên cứu hệ thống lõi OpenCA và ứng dụng, Tạp chí Khoa học và
Công nghệ Tập 52 - Số 1B, 2014.
32
TÀI LIỆU THAM KHẢO
Tiếng Việt
[1] Phan Đình Diệu, Lý thuyết mật mã và an toàn thông tin, Đại Học Quốc Gia Hà Nội, năm 2002.
[2] Nguyễn Hiếu Minh, Bài giảng lý thuyết mật mã, Học Viện Kỹ Thuật Quân Sự, năm 2007.
[3] Trịnh Nhật Tiến, Bài giảng về mật mã và an toàn dữ liệu, Khoa CNTT-Trường Đại Học Công Nghệ, 2009.
[4]
TS. Hồ Văn Hương, KS. Hoàng Chiến Thắng, KS. Nguyễn Quốc
Uy, Giải pháp bảo mật và xác thực cho văn phòng điện tử, Hội
nghị Quốc gia về điện tử và truyền thông (REV 2013-KC01).
[5]
TS. Hồ Văn Hương, KS. Hoàng Chiến Thắng, KS. Nguyễn Quốc
Uy Giải pháp bảo mật và xác thực thư điện tử, Tạp chí An toàn
thông tin số 04 (028), 2013.
[6] TCVN 11367-2:2016 (ISO/IEC 18033-2:2006) Công nghệ thông
tin – Các kỹ thuật an toàn – Thuật toán mật mã – Phần 2: Mật mã
phi đối xứng.
[7] TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) Công nghệ thông
tin – Các kỹ thuật an toàn – Thuật toán mật mã – Phần 3: Mã
khối.
[8] TCVN 7635:2007 Kỹ thuật mật mã – Chữ ký số.
[9] TCVN 7876:2007 Công nghệ thông tin – Kỹ thuật mật mã –
Thuật toán mã dữ liệu AES.
Tiếng Anh
[10] Willian Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005.
[11]
Carlisle Adams and Stevel Lioyd, Understancling PKI: Concepts,
Standards and Deployment Considerations, Addision-Wesley,
2003.
[12]
Milestracy, Wayne Jansen, Scott Bisker, Guidelines on Electronic
Mail Securrity U.S Government Printing Office Washington,
2002.
[13] FIPS PUB 186-4, Digital Signature Standard (DSS), 2013.
33
[14] ISO/IEC 10116:2006Information technology – Security
techniques – Modes of operation for an n-bit block cipher.
[15] RSA Laboratories, PKSC#1 v2.1: RSA Cryptography Standard,
2002.
[16] Trang thông tin của Zimbra www.zimbra.com
[17] Trang thông tin của Bouncy Castle www.bouncycastle.org
Các file đính kèm theo tài liệu này:
- tom_tat_luan_van_nghien_cuu_va_xay_dung_giai_phap_bao_mat_va.pdf