1
ĐẠI HỘC QUỐC GIA TP.HỒ CHÍ MINH
ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
Khoa Kỹ Thuật Máy Tính
¶

MÔN :
CHỨNG THỰC SỐ
Đề Tài:

TÌM HIỂU VỀ SSL HAI CHIỀU

Giáo viên hướng dẫn :
Sinh viên thực hiện
Đặng Thành Vinh – 07520413
Nguyễn Minh Hoàng – 07520132
TP.HỒ CHÍ MINH 4 - 2011
2
MỤC LỤC
MỤC LỤC 2
3
LỜI NÓI ĐẦU
Secure Socket Layer hay còn được biết với tên viết tắt SSL là một giao thức mà rất nhiều
dịch vụ có kết nối thông qua Internet có thể sử dụng nhằm tăng cường tính bảo mật.
Trước khi nghiên cứu sâu về SSL, hãy cùng hình dung những gì có thể xảy ra khi không
có SSL.
Chúng ta hãy cùng xem xét đến việc kết nối giữa hay máy tính thông qua Internet và việc
giao tiếp giữa con người với nhau thông qua điện thoại. Nếu không có sự xuất hiện của
SSL, việc kết nối máy tính – máy tính cũng sẽ gặp những vấn đề tương tự như việc giao
tiếp thông qua điện thoại giữa con người và con người:
• Bạn đang nói chuyện với ai?

2. SSL 2.0: được kết nhập vào Netscape Communications 1.0 đến 2.x. Nó có một số điểm
yếu liên quan đến sự hiện thân cụ thể của cuộc tấn công của đối tượng trung gian. Trong
một nỗ lực nhằm dùng sự không chắc chắn của công chúng về bảo mật của SSL,
Microsoft cũng đã giới thiệu giao thức PCT (Private Communication Technology) cạnh
tranh trong lần tung ra Internet Explorer đầu tiên của nó vào năm 1996.
3. Netscape Communications đã phản ứng lại sự thách thức PCT của Microsoft bằng cách
giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng
mới. Vào thời điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các
phiên bản phần mềm dựa vào TCP/IP của nó (mặc dù phiên bản riêng của nó vẫn hỗ trợ
PCT cho sự tương thích ngược).
Thông số kỹ thuật mới nhất của SSL 3.0 đã được tung ra chính thức vào tháng 3 năm
1996. Nó được thực thi trong tất cả các trình duyệt chính bao gồm ví dụ Microsoft
6
Internet Explorer 3.0 (và các phiên bản cao hơn), Netscape Navigator 3.0 (và các phiên
bản cao hơn), và Open. Như được thảo luận ở phần sau trong chương này, SSL 3.0 đã
được điều chỉnh bởi IETF TLS WG. Thực tế, thông số kỹ thuật giao thức TLS 1.0 dẫn
xuất từ SSL 3.0. Hai phần tiếp theo tập trung chỉ vào các giao thức SSL và TLS; giao
thức PCT không được trình bầy thêm trong các bài viết sắp tới.
7
CẤU TRÚC CỦA SSL
1. Cấu trúc SSL
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất
nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức
ứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol), IMAP ( Internet
Messaging Access Protocol) và FTP (File Transport Protocol). Trong khi SSL có thể sử
dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì
hiện nay SSL được sử dụng chính cho các giao dịch trên Web.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để
thực hiện các nhiệm vụ bảo mật sau:
• Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc

o Handshake protocol
o Change-cipher-spec protocol
o Aleart protocol
Các giao thức ở thành phần thứ hai có nhiệm vụ là:
• Handshake: thành lập các giải thuật mã hóa, giải thuật nén và các thông số được
hai bên sử dụng trong trao đổi dữ liệu được mã hóa. Sau đó các giao thức bản ghi
(record protocol) chịu trách nhiệm phân chia thông điệp vào các khối, nén mỗi
khối lại, chứng thực chúng, mã hóa chúng, thêm header vào mỗi khối và truyền đi
các khối kết quả.
• Change-cipher-spec cho phép các bên giao tiếp có thể thay đổi các giải thuật hoặc
các thông số trong một phiên truyền thông.
• Alert là một giao thức quản lý, nó thông báo cho các bên tham gia truyền thông
khi có vấn đề xảy ra.
Theo biểu đồ trên, SSL nằm trong tầng ứng dụng của giao thức TCP/IP. Do đặc điểm
này, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ TCP/IP mà không cần
10
phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp TCP/IP. Điều này mang lại cho SSL sự
cải tiến mạnh mẽ so với các giao thức khác như IPSec (IP Security Protocol). Vì giao
thức này đòi hỏi nhân hệ điều hành phải hỗ trợ và chỉnh sửa ngăn xếp TCP/IP. SSL cũng
có thể dễ dàng vượt qua tường lửa và proxy, cũng như NAT (Network Address
Translation) mà không cần nguồn cung cấp.
11
PHƯƠNG THỨC HOẠT ĐỘNG
Điểm cơ bản của SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật,
an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ
như webserver và các trình duyệt (browser), do đó được sử dụng rộng rãi trong nhiều ứng
dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật
toán mã hoá sử dụng trong SSL được phổ biến công khai, từ khoá chia sẻ tạm thời được
sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người
quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải

2. Các thuật toán mã hóa dùng trong SSL
Các thuật toán mã hoá (cryptographic algorithm hay còn gọi là cipher) là các hàm toán
học được sử dụng để mã hoá và giải mã thông tin. Giao thức SSL hỗ trợ rất nhiều các
thuật toán mã hoá, được sử dụng để thực hiện các công việc trong quá trình xác thực
server và client. Client và server có thể hỗ trợ các bộ mật mã (cipher suite) khác nhau tuỳ
thuộc vào nhiều yếu tố như phiên bản SSL đang dùng, chính sách của công ty về độ dài
khoá mà họ cảm thấy chấp nhận được - điều này liên quan đến mức độ bảo mật của thông
tin, ….
Các bộ mật mã được trình bày ở phần sau sẽ đề cập đến các thuật toán sau:
• DES (Data Encryption Standard)là một thuật toán mã hoá có chiều dài khoá là 56
bit.
• 3-DES (Triple-DES): là thuật toán mã hoá có độ dài khoá gấp 3 lần độ dài khoá
trong mã hoá DES
13
• DSA (Digital Signature Algorithm): là một phần trong chuẩn về xác thực số đang
được được chính phủ Mỹ sử dụng.
• KEA (Key Exchange Algorithm) là một thuật toán trao đổi khoá đang được chính
phủ Mỹ sử dụng.
• MD5 (Message Digest algorithm) được phát thiển bởi Rivest.
• RSA: là thuật toán mã hoá công khai dùng cho cả quá trình xác thực và mã hoá dữ
liệu được Rivest, Shamir, and Adleman phát triển.
• RSA key exchange: là thuật toán trao đổi khoá dùng trong SSL dựa trên thuật toán
RSA.
• RC2 and RC4: là các thuật toán mã hoá được phát triển bởi Rivest dùng cho RSA
Data Security.
• SHA-1 (Secure Hash Algorithm): là một thuật toán băm đang được chính phủ Mỹ
sử dụng.
Đây là danh sách các bộ mã hoá được hỗ trợ trong SSL mà sử dụng thuật toán trao đổi
khoá RSA và được liệt kê theo khả năng bảo mật từ mạnh đến yếu.
Mạnh nhất

Handshake). Nếu “bắt tay” (Handshake) thành công, cả hai chiều đều chấp nhận bộ mã
hoá chung và các khoá mã hoá, thì dữ liệu ở tầng ứng dụng (thông thường dùng HTTP,
nhưng cũng có thể là một giao thức khác) có thể được gửi thông qua đường hầm (tunnel)
mã hoá (dùng SSL Record Layer).
Trong thực tế, tiến trình trên còn phức tạp hơn một chút. Để tránh những cái “bắt tay”
không cần thiết, một số tham số mã hoá được giữ lại. Các thông báo được gửi đi. Bộ mã
hoá cũng có thể được thay đổi. Tuy nhiên, bất chấp các đặc điểm kĩ thuật đó, cách thức
phổ biến nhất của tiến trình này làm việc thực sự như trên.
17
ỨNG DỤNG
1. Ứng dụng trong Thương mại điện tử
Trong thực tiễn, sự hiểu biết của người sử dụng về cơ chế bảo mật được "sắp đặt" trong
các giao dịch điện tử trên mạng Internet là ít ỏi và mờ. Tất cả phần lớn dựa vào sự tin
tưởng (trust), chẳng hạn tên tuổi của các hãng có uy tín (VisaCard, MasterCard, ) và sản
phẩm có tính nǎng tốt của các hãng nổi tiếng (Oracle, Microsoft, Netscape, ). Bảo mật
và an toàn là vấn đề quan trọng trong việc quyết định sự phát triển mạnh mẽ thương mại
điện tử hoặc hiện nay như chính phủ điện tử (e-government) và tạo lòng tin cho khách
hàng và công chúng. Qua phân tích ví dụ của bảo mật trong giao thức SSL, cho ta thấy
mặt khác của vấn đề: khả nǎng lựa chọn công nghệ và mức độ phụ thuộc vào công nghệ,
khi xây dựng các ứng dụng nền tảng trong đó có hạ tầng bảo mật thông tin. Việc triển
khai các hệ thống ứng dụng sử dụng hạ tầng truyền thông Internet đòi hỏi có độ bảo mật
cao (đặc biệt trong ngân hàng, tài chính, quốc phòng ) cần phải được xây dựng dựa trên
sơ đồ gồm các lớp bảo mật nhiều tầng độc lập (thí dụ: giao thức Giao dịch điện tử bảo
mật SET (Secure Electronic Transaction), Giao thức khoá Internet IKP (Internet Keyed
Protocol) hoặc PGP (Pretty Good Privacy), thậm chí cả phần cứng, nhằm hạn chế tối đa
các "lỗ hổng" bảo mật của hệ thống giao thương điện tử. Ngoài ra cũng cần lưu ý các sản
phẩm về bảo mật ứng dụng hiện nay trên mạng máy tính phần lớn được phát minh từ Mỹ,
được bảo hộ và kiểm soát chặt chẽ bởi luật pháp Mỹ dẫn đến khi thực hành xây dựng và
triển khai các hệ thống thông tin và giao dịch thương mại điện tử của chúng ta cần thận
trọng và cân nhắc.

dù TLS dựa trên SSL, nhưng nó không phải là phiên bản sau tương thích 100% với các
bản trước nó. Kết quả của những nâng cấp này là các giao thức không hoạt động được
một cách đầy đủ. Cuối cùng TLS cũng rơi vào lãng quên so với SSL v3.0.
WTLS
Phiên bản “di động và không dây” của giao thức TLS, sử dụng giao thức UDP như là một
hãng truyền thông. WTLS được thiết kế và tối ưu cho các băng thông thấp hơn, các tiến
trình nhỏ hơn với các thiết bị di động cho phép dùng WAP. WTLS đưa ra cùng giao thức
WAP 1.1 bởi WAP Forum. Tuy nhiên, sau khi giao thức WAP 2.0 được giới thiệu,
WTLS bị thay thế bởi một phiên bản nguyên trạng của TLS với mức an toàn cao hơn. Nó
không cần phải giải mã hay mã hoá lại lưu lượng tại cổng vào của WAP.
Nói tóm lại, mặc dù trong thực tế có nhiều giao thức “an toàn” nhưng ta chỉ nên dùng hai
giao thức giao dịch web (ít nhất tại thời điểm này) là: TLS v1.0 và SSL v3.0. Cả hai đều
được nhấn mạnh trong loạt bài này với cái tên đơn giản là SSL/TLS. Bởi những điểm yếu
kém đã được biết đến của SSL v2.0 và “lỗ hổng WAP” nổi tiếng của WTLS, chúng ta
nên tránh dùng các giao thức này, hoặc ít nhất là hạn chế ở mức thấp nhất.