Tóm tắt Luận văn Nghiên cứu và xây dựng giải pháp bảo mật và xác thực thư điện tử dựa trên công nghệ mở

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN QUỐC UY NGHIÊN CỨU VÀ XÂY DỰNG GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC THƯ ĐIỆN TỬ DỰA TRÊN CÔNG NGHỆ MỞ Ngành: Công nghệ thông tin Chuyên ngành: Kỹ thuật Phần mềm Mã số: 60480103 TÓM TẮT LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2016 2 Mục Lục Mục Lục .................................................................................................... 1 Danh mục các ký hiệu, các chữ viết tắt .................................................... 4 Danh mục các hình vẽ, đồ thị ................................................................... 5 MỞ ĐẦU ................................................................................................... 6 Chương 1: TỔNG QUAN VỀ AN TOÀN, BẢO MẬT THƯ ĐIỆN TỬ .. 8 1.1. Đặt vấn đề ...................................................................................... 8 1.2. Hệ thống thư điện tử mã nguồn mở .............................................. 8 1.2.1. Cấu trúc hệ thống thư điện tử ................................................ 8 1.2.2. Các giải pháp thư điện tử mã nguồn mở ............................... 9 1.3. Các hình thức đe dọa an toàn thông tin khi sử dụng thư điện tử . 9 1.3.1. Hiểm hoạ bị đọc lén ................................................................ 9 1.3.2. Vấn đề thu thập ...................................................................... 9 1.3.3. Phân tích đường truyền ......................................................... 9 1.3.4. Giả mạo ................................................................................ 10 1.3.5. Bom thư ................................................................................ 10 1.4. Cơ sở lý thuyết mật mã ................................................................ 10 1.4.1. Mã hóa dữ liệu ...................................................................... 10 1.4.2. Chữ ký số .............................................................................. 12 Chương 2: NGHIÊN CỨU HỆ THỐNG THƯ ĐIỆN TỬ ZIMBRA, GIẢI PHÁP KÝ SỐ, MÃ HÓA THƯ ĐIỆN TỬ .................................... 14 2.1. Đặt vấn đề .................................................................................... 14 2.2. Kiến trúc hệ thống thư điện tử mã nguồn mở Zimbra ............... 14 3 2.3. Giải pháp ký số, mã hóa thư điện tử ........................................... 15 2.3.1. Giải pháp ký số, mã hóa, xác thực chữ ký, giải mã nội dung thư điện tử trên nền tảng Web ...................................................... 16 2.3.2. Giải pháp ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop ........................................................................... 17 2.4. Phân tích thiết kế và xây dựng ứng dụng ký số, mã hóa thư điện tử ......................................................................................................... 17 2.4.1. Lược đồ Ký số – Mã hóa nội dung thư điện tử .................... 17 2.4.2. Lược đồ Xác thực – Giải mã nội dung thư điện tử .............. 20 2.4.3. Xây dựng giao diện ký số, bảo mật tích hợp trong hệ thống Zimbra ........................................................................................... 21 2.4.4. Ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop........................................................................................... 23 2.4.5. Tính năng mật mã của giải pháp ......................................... 26 Chương 3: CÀI ĐẶT, THỬ NGHIỆM GIẢI PHÁP KÝ SỐ, MÃ HÓA THƯ ĐIỆN TỬ ....................................................................................... 27 3.1. Đặt vấn đề .................................................................................... 27 3.2. Phương pháp, mô hình triển khai thử nghiệm............................ 27 3.3. Nội dung, kết quả thử nghiệm ..................................................... 27 KẾT LUẬN ............................................................................................. 30 DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ ................. 31 TÀI LIỆU THAM KHẢO ...................................................................... 32 4 Danh mục các ký hiệu, các chữ viết tắt AES Tiêu chuẩn mã hóa tiên tiến (Advanced Encryption Standard). CBC Chế độ liên kết khối mã (Cipher block Chaining) CMS Cú pháp mã hóa thông điệp CRL Danh sách hủy bỏ/thu hồi chứng thư số (Certificate Revocation List) HTML Ngôn ngữ đánh dấu siêu văn bản (HyperText Markup Language) IMAP Internet Message Access Protocol LDAP Lightweight Directory Access Protocol MAC Mã xác thực thông báo MDA Mail Delivery Agent MIME Multipurpose Internet Mail Extensions MTA Mail Transfer Agent MUA Mail User Agent PKCS Tiêu chuẩn mật mã khoá công khai (Puplic Key Cryptography Standard) do Phòng thí nghiệm RSA (Mỹ) ban hành. PSS Lược đồ ký xác suất (Probabilistic Signature Scheme ). RFC Request For Comment RSA Tên của hệ mã do ba nhà toán học Rivest, Shamir và Adleman sáng tạo ra. RSASSA Lược đồ ký RSA kèm phụ lục (RSA Signature Scheme with Appendix). SHA Thuật toán băm an toàn (Secure Hash Algorithm). SMTP Simple Mail Transfer Protocol TDEA Thuật toán mã dữ liệu bội ba (TDEA-Triple Data Encryption Algorithm) ZCS Zimbra Collaboration Suite 5 Danh mục các hình vẽ, đồ thị Hình 1.1: Sơ đồ tổng quan hệ thống thư điện tử ......................................... 8 Hình 1.6: Mô tả quá trình tạo và kiểm tra chữ ký số [3] ........................... 13 Hình 2.1: Kiến trúc hệ thống Zimbra [8] ................................................. 15 Hình 2.4: Mô hình ký số, mã hóa, xác thực chữ ký, giải mã nội dung thư trên nền tảng Web ................................................................................... 16 Hình 2.6: Mô hình ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop .................................................................................................. 17 Hình 2.7: Lược đồ Ký số - Mã hóa nội dung thư điện tử .......................... 18 Hình 2.8: Lược đồ ký số dữ liệu có dấu thời gian .................................... 19 Hình 2.10: Lược đồ Xác thực - Giải mã nội dung thư điện tử................... 20 Hình 2.11: Lược đồ xác thực ký số có dấu thời gian ................................ 21 Hình 2.17: Giao diện soạn thảo thư có tích hợp chức năng bảo mật ......... 21 Hình 2.18: Giải mã nội dung thư ............................................................. 22 Hình 2.19: Xác thực nội dung thư ........................................................... 22 Hình 2.22: Giao diện ký số và mã hóa dữ liệu ......................................... 23 Hình 2.23: Giao diện xác thực dữ liệu ..................................................... 23 Hình 2.24: Giao diện giải mã và xác thực dữ liệu .................................... 24 Hình 2.25: Giao diện ký số nội dung thư điện tử ..................................... 24 Hình 2.26: Giao diện xác thực nội dung thư điện tử ................................. 25 Hình 2.27: Giao diện quản lý chứng thư số.............................................. 25 Hình 3.12: Sơ đồ mô hình thử nghiệm hệ thống bảo mật thư điện tử ........ 27 6 MỞ ĐẦU Trong thời gian gần đây, thư điện tử đã trở thành một công cụ hữu hiệu trong việc trao đổi thông tin, góp phần quan trọng vào nâng cao hiệu quả công việc, năng suất lao động, giảm thời gian thực hiện và chi phí hoạt động. Các thông tin nhạy cảm và quan trọng cũng được trao đổi, lưu trữ dưới hình thức thư điện tử. Chính vì thế thư điện tử trở thành một mục tiêu tấn công, phá hoại của tin tặc với nhiều vấn đề liên quan đến mất an toàn thông tin như: Lộ lọt thông tin bí mật, nhạy cảm; Phát tán thư giả mạo, có nội dung lừa đảo hoặc quảng cáo không phù hợp; Phát tán, lây lan mã độc, phần mềm quảng cáo trái phép; Chiếm quyền sử dụng trái phép; Bị lợi dụng để phục vụ cho mục đích xấu. Các cơ chế an toàn sử dụng mật mã đã trở thành một nhân tố cốt lõi của hệ thống thông tin nói chung và thư điện tử nói riêng. Các cơ chế mật mã được phát triển để giải quyết các vấn đề về an toàn cho hệ thống thư điện tử, bao gồm: 1. Xác thực: đảm bảo ngăn chặn giả mạo nguồn gốc thông tin; 2. Bí mật dữ liệu: dữ liệu được mã hóa để đảm bảo không thể xem/đọc được bởi bên thứ 3 không được phép; 3. Toàn vẹn dữ liệu: khi thông tin bị sửa đổi trái phép, người sở hữu thông tin sẽ có khả năng phát hiện sự thay đổi này; 4. Chống chối bỏ: chống việc chối bỏ cái mà mình đã thỏa thuận và ký nhận. Các vấn đề trên được phát triển do sự xuất hiện của các tấn công như nghe lén, giả mạo, vi phạm tính bí mật dữ liệu, vi phạm tính toàn vẹn dữ liệu, từ chối việc ký nhận. Nếu không có mật mã, không thể xây dựng được các cơ chế an toàn để đảm bảo chống lại các tấn công này. Với mong muốn nghiên cứu tìm hiểu giải pháp bảo đảm bảo an toàn cho thư điện tử sử dụng mật mã em đã lựa chọn luận văn “Nghiên cứu và xây dựng giải pháp bảo mật và xác thực thư điện tử dựa trên công nghệ mở”. Đối tượng và phạm vi nghiên cứu của luận văn: - Hệ thống thư điện tử mã nguồn mở Zimbra. - Phạm vi nghiên cứu được giới hạn trên hệ điều hành mã nguồn mở và Hệ thống thư điện tử mã nguồn mở. 7 Bố cục của luận văn gồm các phần sau: Mở đầu Chương 1: Tổng quan về an toàn, bảo mật thư điện tử Chương 2: Nghiên cứu hệ thống thư điện tử zimbra, giải pháp ký số, mã hóa thư điện tử Chương 3: Cài đặt, thử nghiệm giải pháp ký số, mã hóa thư điện tử Kết luận và Kiến nghị Giá trị của luận văn Luận văn đã trình bày tổng thể các nghiên cứu về hệ thống thư điện tử mã nguồn mở Zimbra, đề xuất xây dựng được ứng dụng để đảm bảo tính bí mật, xác thực và toàn vẹn nội dung thư điện tử. Sản phẩm của đề tài có tính ứng dụng thực tiễn, có thể sử dụng trong lĩnh vực kinh tế - xã hội. Ngoài ra Mô hình giải pháp này có thể nghiên cứu để đưa vào ứng dụng trong xác thực giao dịch điện tử của nhiều hoạt động nghiệp vụ khác nhau đang được triển khai tại Việt Nam. 8 Chương 1: TỔNG QUAN VỀ AN TOÀN, BẢO MẬT THƯ ĐIỆN TỬ 1.1. Đặt vấn đề Hiện nay trên thế giới đã xuất hiện rất nhiều sản phẩm xây dựng một hệ thống thư điện tử từ sản phẩm mã nguồn đóng đến những sản phẩm mã nguồn mở. Mỗi loại sản phẩm đều có những ưu điểm và nhược điểm riêng. Trong quá trình sử dụng thư điện tử người dùng phải đối mặt với nhiều rủi ro liên quan đến an toàn thông tin. Chương này của Luận văn sẽ nghiên cứu tổng quan về hệ thống thư điện tử, các hình thức đe dọa an toàn thông tin khi sử dụng thư điện tử và cơ sở lý thuyết về mật mã sẽ sử dụng để đề xuất giải pháp bảo mật thông tin thư điện tử. 1.2. Hệ thống thư điện tử mã nguồn mở 1.2.1. Cấu trúc hệ thống thư điện tử Thư điện tử (Electronic Mail) hay còn gọi tắt là E-Mail, là dịch vụ được triển khai trên các mạng máy tính cho phép người dùng có thể trao đổi thư từ với nhau mà không phải dùng đến giấy tờ như trong hệ thống thư tín bưu chính thông thường. Hệ thống Mail Server là một hệ thống tổng thể bao gồm nhiều thành phần hoạt động tương tác với nhau. Mỗi thành phần bản thân phục vụ các dịch vụ khác nhau, nhưng đồng thời các kết quả lại được đưa đến các thành phần khác để xử lý tiếp theo. Hình 1.1 dưới đây là mô hình của hệ thống Mail Server và sự tương tác giữa các thành phần bên trong: Hình 1.1: Sơ đồ tổng quan hệ thống thư điện tử 9 Hầu hết hệ thống thư điện tử bao gồm ba thành phần cơ bản là MUA, MTA và MDA. 1.2.2. Các giải pháp thư điện tử mã nguồn mở Hiện nay trên thế giới đã xuất hiện rất nhiều sản phẩm xây dựng một hệ thống Mail Server. Có nhiều sản phẩm với giá cả rất rẻ (thậm chí miễn phí), nhỏ gọn, cài đặt và quản trị đơn giản, như WorkGroupMail, Surge Mail Server, Kerio Mail Server. Cũng có những sản phẩm lớn, giá thành cao, tính năng phong phú, đáp ứng được sự ổn định và an toàn như Mail Exchange của Microsoft, Merak Mail Server Trong thế giới mã nguồn mở hiện nay, đã có rất nhiều hệ thống truyền tải thư điện tử MTA (Mail Transfer Agent) được phát triển. Nổi tiếng và phổ biến trong số đó gồm có: Zimbra, Sendmail, Qmail, Postfix, Exim, Courier. Mỗi MTA đều có những ưu điểm và nhược điểm riêng. 1.3. Các hình thức đe dọa an toàn thông tin khi sử dụng thư điện tử 1.3.1. Hiểm hoạ bị đọc lén Cũng như đối với các ứng dụng khác trên mạng (các phiên đăng nhập từ xa, tải thông tin sử dụng ftp, hội thoại trực tuyến, ...), thư tín điện tử cũng có thể bị đọc lén. Nhưng ai là đối tượng muốn đọc lén nội dung thư của người dùng? Câu trả lời phụ thuộc vào họ là ai, họ đang làm gì, và ai quan tâm đến việc họ đang làm. Một vài đối tượng có thể đọc lén thư của người dùng như: chính phủ nước ngoài; chính phủ trong nước; cạnh tranh thương mại; tội phạm; bạn bè, người thân 1.3.2. Vấn đề thu thập Vấn đề lớn nhất khi muốn đọc một thông điệp được gửi qua đường thư tín điện tử của một ai đó là việc tìm nó giữa một biển các thông điệp thư tín điện tử khác trên mạng. Công việc này được người ta ví như việc “mò kim đáy biển”. Tuy là một công việc khó khăn nhưng hiện vẫn có các cơ quan hoặc tổ chức được sinh ra để làm công việc đó. Chẳng hạn, một trong các công việc chính của NSA, NSA giám sát các luồng dữ liệu máy tính vào, ra nước Mỹ và giữa các nước khác với nhau. 1.3.3. Phân tích đường truyền Trong trường hợp nội dung thư được mã hoá, đối tượng đọc trộm (NSA chẳng hạn) không thể đọc nội dung thư điện tử, họ có thể thu thập 10 được một lượng thông tin không nhỏ thông qua việc phân tích đường truyền. Việc phân tích đường truyền dựa vào một trong các yếu tố như: người gửi gửi thư điện tử cho ai, người nhận nhận thư điện tử từ ai, độ dài của các thông điệp thư điện tử, hoặc khi nào thư điện tử được gửi. Có rất nhiều thông tin ẩn chứa trong các yếu tố kiểu như vậy nếu họ biết cách khai thác. Việc phân tích đường truyền thư điện tử là một công cụ thông minh trong việc ăn cắp thông tin cá nhân. 1.3.4. Giả mạo Giả mạo là một vấn đề an toàn khác trên mạng máy tính nói chung. Khái niệm ngắn nhất về giả mạo là việc người này giả danh là một người khác. Việc giả mạo có thể xuất phát từ mục đích trêu đùa, làm mất danh dự, bôi nhọ người khác hoặc là công cụ để lừa gạt. Hiểm hoạ mạo danh có thể được khắc phục thông qua việc sử dụng chữ ký điện tử. 1.3.5. Bom thư Một số loại bom thư: - Thư điện tử thương mại tự nguyện (UCE - Unsolicited Commercial Email). - Thư điện tử gửi hàng loạt (UBE - Unsolicited Bulk Email). - Các thông điệp thư điện tử kiếm tiền nhanh (MMF - Make Money Fast) 1.4. Cơ sở lý thuyết mật mã 1.4.1. Mã hóa dữ liệu Trong lĩnh vực bảo vệ thông tin, các thuật toán mật mã được sử dụng để giải quyết ba vấn đề cơ bản: bảo mật dữ liệu, xác thực nguồn gốc và đảm bảo tính toàn vẹn của dữ liệu. Các thuật toán mã hóa dữ liệu, đó là những thuật toán biến đổi dữ liệu rõ (tức ở dạng đọc hiểu, được gọi là bản rõ-plaintext hay cleartext) sang một dạng mà người không có thẩm quyền sẽ không thể đọc hiểu (được gọi là bản mã-ciphertext). Quá trình biến đổi này được gọi là mã hoá, quá trình ngược lại, từ bản mã tìm ra bản rõ được gọi là giải mã. 11 Để thực hiện mã hoá và giải mã người gửi cũng như người nhận cần sở hữu một yếu tố bí mật được gọi là khoá (tương ứng ký hiệu là 1k và 2k ). Gọi M và C tương ứng là bản rõ và bản mã, 1kE và 2kD tương ứng là phép mã hoá và giải mã, khi đó các quá trình mã hoá và giải mã được viết dưới dạng: 1 2 ( ) ( ) k k E M C D C M   Căn cứ vào quan hệ giữa khoá mã hoá và khoá giải mã, người ta phân biệt hai loại thuật toán mật mã: Thuật toán mã đối xứng và thuật toán mã phi đối xứng. - Trong thuật toán mã đối xứng, khoá giải mã 2k được tính ra từ khoá mã hoá 1k (trường hợp riêng thì 1 2k k ), khóa phải được giữ bí mật và chỉ biết bởi người gửi và người nhận. Ví dụ: thuật toán TDEA, thuật toán AES, - Trong thuật toán mã phi đối xứng khóa mã và khóa giải mã khác nhau, biết khoá mã hoá 1k , không thể tính ra được khoá giải mã 2k theo nghĩa độ phức tạp tính toán, khóa giải mã (hay khóa riêng) phải được giữ bí mật duy nhất bởi người sử dụng. Ví dụ: thuật toán RSA, thuật toán Elgamal Thuật toán mã đối xứng lại được chia thành hai loại: thuật toán mã dòng và thuật toán mã khối. Thuật toán mã dòng thực hiện mã hoá từng ký tự của bản rõ, trong khi thuật toán mã khối chia bản rõ rõ thành từng khối có độ dài cố định (thường là 64 hoặc 128 bit) và thực hiện mã hoá lần lượt từng khối. Cả hai loại thuật toán mã đối xứng và mã phi đối xứng đều có thể sử dụng để mã hoá dữ liệu. Tuy nhiên thuật toán mã phi đối xứng có tốc độ mã hoá chậm hơn nhiều so với mật mã đối xứng, do đó các thuật toán loại này ít khi được sử dụng để trực tiếp mã hoá dữ liệu, nhất là với dữ liệu có khối lượng lớn. Chúng chủ yếu được sử dụng để thiết kế các giao thức phân phối khoá (như truyền khoá từ một thực thể tới một thực thể khác) và xác thực trên mạng liên lạc (như tạo chữ ký số của người dùng). 12 Như vậy để mã dữ liệu người ta chủ yếu sử dụng mã khối và mã dòng. 1.4.2. Chữ ký số Trong giao dịch giấy tờ truyền thống chữ ký tay là phương tiện để xác thực nguồn gốc và nội dung của văn bản. Chữ ký tay còn có khả năng chống chối bỏ, nghĩa là người gửi sau khi đã ký vào văn bản thì không thể chối bỏ chữ ký của mình và văn bản sau khi được ký thì không thể thay đổi được nội dung. Đối với văn bản điện tử chữ ký tay không còn đảm bảo được các tính năng nói trên, vì vậy chữ ký số điện tử (gọi tắt là chữ ký số) được sử dụng để thay thế vai trò của chữ ký tay. Chữ ký số được biểu diễn dưới dạng một chuỗi số nhị phân. Nó được tạo ra trên cơ sở sử dụngtập hợp các quy tắc và tập hợp các tham số để xác định danh tính người gửi (người ký) cũng như kiểm tra tính toàn vẹn của dữ liệu. Phương tiện cơ bản để thực hiện chữ ký số là kỹ thuật mật mã. Mỗi chữ ký số được thể hiện trên một lược đồ xác định gọi là lược đồ chữ ký số. Lược đồ này bao gồm ba thành tố: thuật toán chữ ký số, thuật toán hàm băm và thuật toán tạo số giả ngẫu nhiên. Thuật toán chữ ký số gồm thuật toán ký và thuật toán kiểm tra. Người gửi sử dụng thuật toán ký và khóa bí mật để tạo ra chữ ký số, người nhận (người kiểm tra) sử dụng thuật toán kiểm tra và khóa công khai tương ứng để kiểm tra đồng thời tính chân thực của thông điệp dữ liệu và tính chân thực của chữ ký số do người gửi tạo ra. Mỗi người sở hữu một cặp khóa bao gồm khoá công khai (giả thiết là được công bố một cách công khai) và khoá bí mật (được giữ bí mật tuyệt đối). Bất kỳ ai cũng có thể kiểm tra chữ ký số của một người nào đó bằng cách sử dụng khóa công khai của người này. Quá trình tạo chữ ký số chỉ có thể được thực hiện bởi người sở hữu khoá bí mật. Thuật toán hàm băm là biến đổi toán học dùng để thu gọn văn bản ban đầu (còn gọi là thông điệp dữ liệu) nhằm tạo ra bản tóm lược của thông điệp. Bản tóm lược này sẽ là đầu vào của thuật toán tạo chữ ký số. Chữ ký số được đính kèm với thông điệp dữ liệu đã được ký. Trong quá trình kiểm tra chữ ký số, thuật toán hàm băm cũng được áp dụng như trong quá trình tạo chữ ký. Thuật toán tạo số giả ngẫu nhiên dùng để tạo ra các số giả ngẫu nhiên (độc lập, đồng xác suất) làm tham số trong lược đồ chữ ký số (xem Hình 1.6). 13 Hình 1.6: Mô tả quá trình tạo và kiểm tra chữ ký số 14 Chương 2: NGHIÊN CỨU HỆ THỐNG THƯ ĐIỆN TỬ ZIMBRA, GIẢI PHÁP KÝ SỐ, MÃ HÓA THƯ ĐIỆN TỬ 2.1. Đặt vấn đề Trong chương này Luận văn sẽ đi vào nghiên cứu kiến trúc của hệ thống thư điện tử mã nguồn mở Zimbra và đề xuất giải pháp ký số, mã hóa thư điện tử. Nội dung của chương sẽ được trình bày thành 2 phần chính: Phần 1: Kiến trúc hệ thống thư điện tử mã nguồn mở Zimbra, nghiên cứu cụ thể về kiến trúc của Zimbra. Từ đó làm cơ sở để nghiên cứu giải pháp bổ sung thêm các chức năng còn thiếu để bảo mật thông tin thư điện tử. Phần 2: Giải pháp ký số, mã hóa thư điện tử, một trong những vấn đề quan trọng nhất để trao đổi thư điện tử an toàn là phải đảm bảo tính bí mật, toàn vẹn và xác thực được nội dung thư trong quá trình gửi nhận. Phần này Luận văn sẽ đề xuất sử dụng chữ ký số và mã hóa dữ liệu để bảo mật cho hệ thống thư điện tử Zimbra. 2.2. Kiến trúc hệ thống thư điện tử mã nguồn mở Zimbra Kiến trúc Zimbra bao gồm những lõi sau: - Các mã nguồn mở tích hợp trong Zimbra: Linux®, Apache Tomcat, Postfix, MySQL®, OpenLDAP®. - Giao thức chuẩn được sử dụng là: SMTP, LMTP, SOAP, XML, IMAP, POP. - Công nghệ được sử dụng để thiết kế là: Java, JavaScript thin client, DHTML. - Trình duyệt dựa trên giao diện giao diện khách hàng, giao diện này cho phép người dùng dễ dàng truy cập vào tất cả các chức năng của Zimbra Collaboration Suite (ZCS). Hình 2.1 cho thấy kiến trúc hệ thống Zimbra: 15 Hình 2.1: Kiến trúc hệ thống Zimbra 2.3. Giải pháp ký số, mã hóa thư điện tử Hệ thống thư điện tử mật phải đảm bảo được các yêu cầu sau: 1. Phải đảm bảo được an toàn thông tin về tài khoản khi kết nối đến server. 2. Các thông điệp gửi và nhận giữa các user phải được mã hóa để đảm bảo an toàn dữ liệu trên đường truyền. 16 3. Phải xác thực được nội dung các thông điệp và xác thực được người gửi. 4. Các thao tác khi ứng dụng hệ thống bảo mật vào dịch vụ thư điện tử phải đơn giản với người dùng. Hệ thống thư điện tử Zimbra cung cấp một hệ thống hoàn chỉnh để triển khai dịch vụ email (cả server và client) và môi trường chia sẻ công tác phục vụ cho quản lý và công việc, tuy nhiên với các chức năng nghiệp vụ chuyên biệt như ký số, mã hóa, giải mã, xác thực nội dung thư thì Zimbra chưa cung cấp. Vì vậy, em đề xuất xây dựng giải pháp bảo mật thư điện tử sử dụng hạ tầng khóa công khai (PKI). Giải pháp bao gồm việc phát triển 2 ứng dụng bảo mật thư điện tử trên công nghệ mở: - Xây dựng và tích hợp ứng dụng bảo mật thư dựa trên Zimlet và tích hợp với ứng dụng thư Zimbra (xây dựng trên nền tảngWeb). - Ứng dụng bảo mật thư điện tử trên nền tảng Destop. 2.3.1. Giải pháp ký số, mã hóa, xác thực chữ ký, giải mã nội dung thư điện tử trên nền tảng Web Hệ thống thư điện tử Zimbra cung cấp Zimbra web client với giao diện người dùng trên nền web và làm việc trực tuyến (online). Mọi thông tin sẽ lưu trên máy chủ Zimbra. Để theo dõi nhận dạng người gửi và đảm bảo tính bí mật, xác thực và toàn vẹn nội dung thư sau khi họ gửi, hệ thống cần cung cấp cho người dùng khả năng để ký số, mã hóa nội dung thư được gửi đi. Hình 2.4: Mô hình ký số, mã hóa, xác thực chữ ký, giải mã nội dung thư trên nền tảng Web 17 Người gửi sau khi soạn thảo nội dung thư điện tử trên Webform có thể ký số, mã hóa nội dung thư và gửi lên Mail Server. Người nhận sẽ tải dữ liệu đã ký số, mã hóa lên Webform trên máy tính của mình và tiến hành xác thực chữ ký số, giải mã nội dung thư. 2.3.2. Giải pháp ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop Hình 2.6: Mô hình ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop 2.4. Phân tích thiết kế và xây dựng ứng dụng ký số, mã hóa thư điện tử 2.4.1. Lược đồ Ký số – Mã hóa nội dung thư điện tử 18 Hình 2.7: Lược đồ Ký số - Mã hóa nội dung thư điện tử 19 Quá trình ký số, mã hóa nội dung thư điện tử là kết hợp của 2 quá trình, quá trình ký số lên dữ liệu sau đó mã hóa dữ liệu đã được ký. Khuôn dạng chữ ký đầu ra gồm các thông tin chính sau: Dữ liệu ký; Tên hàm băm được sử dụng; Chữ ký số; Chứng thư số người ký; ID người ký; Khuôn dạng dữ liệu mã đầu ra sẽ bao gồm các thông tin sau:Tên thuật toán mã hóa đối xứng; Dữ liệu mã; Khóa đối xứng được mã; Các ID người nhận và tên thuật toán mã hóa công khai. Quy trình ký gắn dấu thời gian được thể hiện trên Hình 2.8. Dữ liệu ký gồm: Dữ liệu gốc; Tên hàm băm; Chữ ký số; ID người ký; Chứng thư số người ký; Dấu thời gian. Hình 2.8: Lược đồ ký số dữ liệu có dấu thời gian 20 2.4.2. Lược đồ Xác thực – Giải mã nội dung thư điện tử Hình 2.10: Lược đồ Xác thực - Giải mã nội dung thư điện tử Quá trình xác thực, giải mã dữ liệu là quá trình ngược lại và là kết hợp quả 2 quá trình, quá trình giải mã dữ liệu và quá trình xác thực chữ ký. 21 Xác thực chữ ký sử dụng các dịch vụ chứng thực Hình 2.11: Lược đồ xác thực ký số có dấu thời gian Quá trình xác thực chữ ký được thực hiện ngược lại, và cũng sử dụng các thuật toán xác thực cơ bản đã thiết kết trong thư viện chuẩn của Java, tuy nhiên dấu thời gian và chứng thư số của người ký và của máy chủ cấp dấu thời gian sẽ được kiểm tra trước khi xác thực chữ ký. 2.4.3. Xây dựng giao diện ký số, bảo mật tích hợp trong hệ thống Zimbra Hình 2.17: Giao diện soạn thảo thư có tích hợp chức năng bảo mật 22 Hình 2.18: Giải mã nội dung thư Hình 2.19: Xác thực nội dung thư 23 2.4.4. Ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop Hình 2.22: Giao diện ký số và mã hóa dữ liệu Hình 2.23: Giao diện xác thực dữ liệu 24 Hình 2.24: Giao diện giải mã và xác thực dữ liệu Hình 2.25: Giao diện ký số nội dung thư điện tử 25 Hình 2.26: Giao diện xác thực nội dung thư điện tử Hình 2.27: Giao diện quản lý chứng thư số 26 2.4.5. Tính năng mật mã của giải pháp Phần mềm nguồn mở sử dụng phát triển - Hệ thống thư điện tử Zimbra. - Thư viện mật mã mã nguồn mở Bouncy Castle Crypto APIs. Tiêu chuẩn mật mã đáp ứng - Chuẩn khuôn dạng chứng thư số X509 v3, phần mềm có thể sử dụng cho các chứng thư số của các nhà cung cấp dịch vụ chứng thực chữ ký số có định dạng chuẩn X509 v3. - Chuẩn khuôn dạng CRL và chứng thư số theo RFC 3280 (Certificate and Certificate Revocation List (CRL) Profile). - Mã hóa phi đối xứng: Áp dụng PKCS#1 phiên bản 2.1, Áp dụng lược đồ RSAES-OAEP để mã hoá. - Chữ ký số: Áp dụng PKCS#1 phiên bản 2.1, sử dụng lược đồ RSASSA-PSS để ký. - Chuẩn mã hóa đối xứng: Sử dụng AES (128 bit) sử dụng chế độ CBC. - Hàm băm mật mã: SHA-1, SHA-256. - Chuẩn khuôn dạng chữ ký số CMS/PKCS#7. - Chuẩn gắn dấu thời gian Time-Stamp Protocol RFC 3161. 27 Chương 3: CÀI ĐẶT, THỬ NGHIỆM GIẢI PHÁP KÝ SỐ, MÃ HÓA THƯ ĐIỆN TỬ 3.1. Đặt vấn đề Trong chương này Luận văn sẽ đi vào mô tả ứng dụng ký số, mã hóa cho hệ thống thư điện tử mã nguồn mở Zimbra, trình bày phương pháp thử nghiệm và kết quả triển khai thử nghiệm của giải pháp đã đề xuất. 3.2. Phương pháp, mô hình triển khai thử nghiệm Mô hình triển khai thử nghiệm Router Server Zimbra LAN Database Server Hình 3.12: Sơ đồ mô hình thử nghiệm hệ thống bảo mật thư điện tử Phương pháp thử nghiệm Để kiểm tra các chức năng phần mềm, phương pháp sử dụng là kiểm tra khả năng đáp ứng của các chức năng mô tả. 3.3. Nội dung, kết quả thử nghiệm Bảng 1 : Yêu cầu thử nghiệm hệ thống bảo mật và xác thực thư điện tử STT Chức năng Yêu cầu cần đạt Kết quả 01 Hệ thống thư điện tử mã nguồn mở Zimbra - Đáp ứng được các yêu cầu của một hệ thống thư điện tử Khả năng đáp ứng 02 Chức năng ký số nội dung thư điện tử trên ứng dụng bảo mật thư điện tử trên nền - Ký số nội dung thư thông qua clipboard. - Ký số sử dụng chuẩn chữ ký số PKCS#7, hàm băm Khả năng đáp ứng 28 Desktop mật mã SHA-1 và thiết bị lưu khóa. 03 Chức năng xác thực nội dung thư điện tử trên ứng dụng bảo mật thư điện tử trên nền Desktop - Xác thực được nội dung đã ký với chuẩn chữ ký số PKCS#7, hàm băm mật mã SHA-1. Khả năng đáp ứng 04 Chức năng mã hoá nội dung thư điện tử trên ứng dụng bảo mật thư điện tử trên nền Desktop - Mã hoá nội dung thư sử dụngthuật toán mã hóa AES chế độ CBC, thuật toán trao đổi khóa RSA. Khả năng đáp ứng 05 Chức năng giải mã nội dung thư điện tử trên ứng dụng bảo mật thư điện tử trên nền Desktop - Giải mã nội dung thư sử dụngthuật toán mã hóa AES, thuật toán trao đổi khóa RSA. Khả năng đáp ứng 06 Chức năng ký số nội dung thư điện tử tích hợp trong hệ thống thư Zimbra - Ký số sử dụng chuẩn chữ ký số PKCS#7, hàm băm mật mã SHA-1 và thiết bị etoken. Khả năng đáp ứng 07 Chức năng xác thực nội dung thư điện tử tích hợp trong hệ thống thư Zimbra - Xác thực được nội dung đã ký với chuẩn chữ ký số PKCS#7, hàm băm mật mã SHA-1. Khả năng đáp ứng 08 Chức năng mã hoá nội dung thư điện tử tích hợp trong hệ thống thư Zimbra - Mã hoá nội dung thư sử dụngthuật toán mã hóa AES, thuật toán trao đổi khóa RSA. Khả năng đáp ứng 09 Chức năng giải mã nội dung thư điện tử tích hợp trong hệ thống thư Zimbra - Giải mã nội dung thư sử dụngthuật toán mã hóa AES, thuật toán trao đổi khóa RSA. Khả năng đáp ứng 29 10 Tích hợp mật mã khóa công khai trong hệ thống bảo mật thư điện tử - Tất cả các thao tác ký số, xác thực, mã hóa, giải mã trong hệ thống thư điện tử có bảo mật đều phải sử dụng thiết bị lưu khóa. Khả năng đáp ứng Bảng 2: Kết quả thử nghiệm hệ thống bảo mật và xác thực thư điện tử STT Chức năng Kết quả 01 Chức năng ký số nội dung thư điện tử: Yêu cầu: Ký số sử dụng chuẩn chữ ký số PKCS#7, hàm băm mật mã SHA-1 và thiết bị etoken. Đạt 02 Chức năng xác thực nội dung thư điện tử: Yêu cầu: Xác thực được nội dung đã ký với chuẩn chữ ký số PKCS#7, hàm băm mật mã SHA-1. Đạt 03 Chức năng mã hoá nội dung thư điện tử : Yêu cầu: Mã hoá nội dung thư sử dụngthuật toán mã hóa AES, thuật toán trao đổi khóa RSA. Đạt 04 Chức năng giải mã nội dung thư điện tử : Yêu cầu: Giải mã nội dung thư sử dụngthuật toán mã hóa AES, thuật toán trao đổi khóa RSA. Đạt 05 Tích hợp mật mã khóa công khai trong hệ thống bảo mật thư điện tử : Yêu cầu: Tất cả các thao tác ký số, xác thực, mã hóa, giải mã trong hệ thống thư điện tử có bảo mật đều phải sử dụng thiết bị lưu khóa. Đạt Kết luận chương: Chương này đã mô tả được ứng dụng ký số, mã hóa phát triển cho hệ thống thư điện tử Zimbra, cài đặt và thử nghiệm các chức năng của ứng dụng và đánh giá khả năng đáp ứng của các chức năng đó. 30 KẾT LUẬN Luận văn cơ bản trình bày được tổng quan về an toàn thư tín điện tử, các giao thức trong thư điện tử, một số kỹ thuật an toàn bảo mật và một số phần mềm bảo mật thư. Luận văn đã đưa ra được giải pháp an toàn cho việc gửi và nhận thư, cài đặt bảo mật thư điện tử trên hệ thống Zimbra Mail Server cụ thể như sau: - Cài đặt thành công hệ thống thư điện tử Zimbra thực hiện việc gửi và nhận thư điện tử. - Tích hợp chức năng xác thực, bảo mật thư điện tử trên hệ thống Zimbra Mail Server thực hiện được các chức năng: Gửi thư mã hóa, giải mã, ký và xác thực nội dung thư cho người dùng. Xây dựng mới ứng dụng ký số, mã hóa, xác thực, giải mã clipboard trên nền tảng Desktop. - Đã thử nghiệm các chức năng ký số, mã hóa thư, xác thực người gửi cho bức thư soạn thông thường, hệ thống bảo mật, xác thực thư điện tử được tích hợp với thiết bị Etoken. Luận văn đã thực hiện hoàn thành các nội dung theo đề cương đã được phê duyệt. Hướng phát triển: Luận văn có thể được mở rộng và phát triển theo hướng: - Nghiên cứu xây dựng mô-đun ký số, mã hóa tập tin đính kèm trên nền tảng Web để hoàn thiện giải pháp bảo mật cho Hệ thống thư điện tử Zimbra. - Ngoài ra mô hình giải pháp này có thể nghiên cứu để đưa vào ứng dụng trong xác thực giao dịch điện tử của nhiều hoạt động nghiệp vụ khác nhau đang được triển khai tại Việt Nam. 31 DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN LUẬN VĂN - Thành viên đề tài cấp nhà nước KC01.02/11-15 “Xây dựng giải pháp bảo mật hệ thống thông tin dựa trên công nghệ mở”. - Hồ Văn Hương, Nguyễn Quốc Uy, Giải pháp bảo mật cơ sở dữ liệu ứng dụng mã nguồn mở, Tạp chí An toàn thông tin số 03 (027) năm 2013. - Hồ Văn Hương, Nguyễn Quốc Uy, Nguyễn Anh Đoàn, Tích hợp giải pháp bảo mật và xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa học và Công nghệ Quân sự số 28, 12/2013. - Hồ Văn Hương, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo mật và xác thực cho văn phòng điện tử, Kỷ yếu Hội nghị Quốc gia về Điện tử và Truyền thông (REV2013-KC01), tổ chức tại Đại học CN- Đại học Quốc gia Hà nội, 17-18/12/2013. - Hồ Văn Hương, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo mật và xác thực thư điện tử, Tạp chí An toàn thông tin số 04 (028), 2013. - Hồ Văn Hương, Đào Thị Ngọc Thuỳ, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Nghiên cứu hệ thống lõi OpenCA và ứng dụng, Tạp chí Khoa học và Công nghệ Tập 52 - Số 1B, 2014. 32 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phan Đình Diệu, Lý thuyết mật mã và an toàn thông tin, Đại Học Quốc Gia Hà Nội, năm 2002. [2] Nguyễn Hiếu Minh, Bài giảng lý thuyết mật mã, Học Viện Kỹ Thuật Quân Sự, năm 2007. [3] Trịnh Nhật Tiến, Bài giảng về mật mã và an toàn dữ liệu, Khoa CNTT-Trường Đại Học Công Nghệ, 2009. [4] TS. Hồ Văn Hương, KS. Hoàng Chiến Thắng, KS. Nguyễn Quốc Uy, Giải pháp bảo mật và xác thực cho văn phòng điện tử, Hội nghị Quốc gia về điện tử và truyền thông (REV 2013-KC01). [5] TS. Hồ Văn Hương, KS. Hoàng Chiến Thắng, KS. Nguyễn Quốc Uy Giải pháp bảo mật và xác thực thư điện tử, Tạp chí An toàn thông tin số 04 (028), 2013. [6] TCVN 11367-2:2016 (ISO/IEC 18033-2:2006) Công nghệ thông tin – Các kỹ thuật an toàn – Thuật toán mật mã – Phần 2: Mật mã phi đối xứng. [7] TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) Công nghệ thông tin – Các kỹ thuật an toàn – Thuật toán mật mã – Phần 3: Mã khối. [8] TCVN 7635:2007 Kỹ thuật mật mã – Chữ ký số. [9] TCVN 7876:2007 Công nghệ thông tin – Kỹ thuật mật mã – Thuật toán mã dữ liệu AES. Tiếng Anh [10] Willian Stallings, Cryptography and Network Security Principles and Practices, Fourth Edition, 2005. [11] Carlisle Adams and Stevel Lioyd, Understancling PKI: Concepts, Standards and Deployment Considerations, Addision-Wesley, 2003. [12] Milestracy, Wayne Jansen, Scott Bisker, Guidelines on Electronic Mail Securrity U.S Government Printing Office Washington, 2002. [13] FIPS PUB 186-4, Digital Signature Standard (DSS), 2013. 33 [14] ISO/IEC 10116:2006Information technology – Security techniques – Modes of operation for an n-bit block cipher. [15] RSA Laboratories, PKSC#1 v2.1: RSA Cryptography Standard, 2002. [16] Trang thông tin của Zimbra www.zimbra.com [17] Trang thông tin của Bouncy Castle www.bouncycastle.org