ĐẠI HỌC CÔNG NGHỆ
ĐẠI HỌC QUỐC GIA HÀ NỘI
VŨ VĂN TRIỆU

XÂY DỰNG HỆ THỐNG QUẢN LÝ CHỨNG CHỈ SỔ SỬ
DỤNG CÔNG NGHỆ IAIK VÀ SSL LUẬN VĂN TH.S CÔNG NGHỆ THÔNG TIN

Ngưới hướng dẫn:PGS.TS Trịnh Nhật Tiến
Hà Nội 2007
2.2.3.3. Trường signatureValue 54
2.2.3.4. Trường version 54
2.2.3.5. Trường serialNumber 54
2.2.3.6. Trường signature 54
2.2.3.7. Trường issuer 55
2.2.3.8. Trường validity 56
2.2.3.9. Trường subject 56
2.2.3.10. Trường subjectPublicKeyInfo 56
2.2.4. Định dạng PEM của chứng chỉ số 57
2.2.5. Mô hình quản lý chứng chỉ số 58
2.2.5.1. Đối tượng sử dụng 59
2.2.5.2. Thành phần CA 60
2.2.5.3. Thành phần RA 60
2.2.5.4. Kho thông tin 61
2.2.5.5. CRL Ủy quyền 61
2.2.6. Các chức năng quản lý chứng chỉ số 61 3
2.2.6.1. Đăng ký 61
2.2.6.2. Khởi tạo 62
2.2.6.3. Chứng thực 62
2.2.6.4. Phục hồi cặp khóa 62
2.2.6.5. Cập nhật cặp khóa 62
2.2.6.6. Yêu cầu thu hồi 63
2.2.6.7. Chứng thực chéo 63
2.2.6.8. Các chức năng thêm 63
2.2.7. Các giao thức quản lý chứng chỉ số 64
Chương 3. THỬ NGHIỆM XÂY DỰNG HỆ THỐNG QUẢN LÝ CHỨNG CHỈ SỐ 65
3.1. TỔNG QUAN 65

5
CÁC THUẬT NGỮ VIẾT TẮT
CA – Certification Authority
Thc th có thm quyn chng thc, là thc th duy nht trong PKI có chc
p chng ch s.
ASN.1 – Abstract Syntax Notation One
Là mt ngôn ng hình thc mô t i trong mt phm
vi rng gia các các dng Internet, mng thông minh, mng di
n t
BER – Basic Encoding Rules
Lun. Mt luc s dng trong thp k 
gin, thô, nhng không có hiu qu.
CRL – Certificate Revocation List
Danh sách các chng ch s b thu hi hay không còn hp l.
DER – Distinguished Encoding Rules
Lut mã hóa phân bit. Lut mã hóa không có s tùy chn s  n, thô
 u qu. Lut mã hóa DER din gii c các thành phn tùy
chn, ví du dài hay không, la chn các kiu.
Digital Certificate
Chng ch s, là mt cu trúc d lic s d gn các thông
c xác thc ca mng vào mt khóa công khai cng
u cách gi khác: certificate, public key certificate.
Digital Signature
Ch n t, là mt k thut s dng mã khóa công khai cho phép không th

RFC – Requests for Comments
 , 







 1969 














 , , 






u này khnh ảnh hưởng của cuộc cách mạng công nghệ thông tin là rất
sâu đậm, và để lại dấu ấn trên từng hành vi của mỗi cá nhân hàng ngày, hàng
giờ.
Xã hội số hoá.
Vai trò ch o ca mng nói chung và Internet nói riêng là quá rõ ràng trong
nn kinh t th gii mi. Trên nó, xã hội số hoá c bii tên gi
không gian điều khiển ng ln rng dn. Trong th
gii o này, các phương tiện, nghi thức, quy ước, luật lệ của loài người đang
dần được tái sáng tạo.
An toàn bảo mật.
Mt trong nhng thách thc ln nhi vi s m rng tm ng ca
xã hi s hoá trong thi gian g vấn đề an toàn bảo mật. Nói nôm na là
làm th  a các hành vi truy nhp bt hp pháp hoc ch ng các
loi ti phm tin hu này có th d c bi mt xã hi không th
phát trin mà không da trên mt nn tng pháp lut). Chúng tn ti các
d nghe trm, si trái phép thn gi
mo, gian li
u bt ngun t bn cht phân tán ca mng Internet,
p xúc vt lý trc tip v
th gii thc) và thông tin giao dch buc phhuyn qua nhiu trm trung
chuyn không nm trong s kim soát cng
mt giao dch chuyn tin tr giá 1.000.000$ chc s c thc hin
qua mng nm bo là không ai có th xâm nh si hoc
nghe try, nhu cu an toàn bo mt trên kênh truyn tin là
rt thit thc và b thành mt v thi s i gii quyt
tri và có h thng. 9
Chứng chỉ số là mt trong các công c  thc hin an toàn và bo mt

Chương 1. CÁC KHÁI NIỆM CƠ BẢN 1.1. HỆ MÃ HÓA KHÓA ĐỐI XỨNG (Symmetric Key Cryptosystems)
1.1.1. Khái niệm mã hóa khóa đối xứng.
 m bo tính bí mt, p trong kênh truyn tin cn phc
mã hoá. Mô hình v truyn tin có bo mt có th 

Hình 1-1. Mô hình truyền tin có bảo mật

Cơ chế hoạt động:
i phát tin S mun gi mt thông tin X ti nhn R qua mt kênh
truyn tinng th E có th nghe tr ly c thông tin X.
S s dng mt phép mã hoá thông tin X,  to ra n mã Y khó có th
c. Y u ni dung ca thông tin X. Khoá là thông s u khin
ca phép bii này. Gic li nhn thu
c thônu X t n mã Y.
Nu bit khóa lp mã, d c khóa gic li, h mã
i là h i xng( trong mt s h i xng,
khóa lp mã và khóa gii mã là trùng nhau) Đối tượng thứ 3: truy cập bất hợp pháp
Mã hóa

Hoán v ban u
Lp 1
Lp 2
Lp 16
i ch 32 -bit
Hoán v c
64-bit plaintext
Dch trái
Dchtrái
Dch trái
Dch trái
Hoán v chn 2
Hoán v chn 2
Hoán v chn 2
Hoán v chn
1
64-bit
ciphertext

DES
 13
Trường hợp truyền bị lỗi
Key 00000001 00000001 00000001 00000001 00000001 00000001
00000001 00000001
Plaintext: 00000000 00000000 00000000 00000000 00000000 00000000
00000000 00000000

Ciphertext:10011000 10100110 01001101 11101001 11000001 10110011
00100011 10100111 Ciphertext:10011000 10100110 01001001 11101001 11000001 10110011
00100011 10100111

Plaintext: 00110101 10010101 10001101 11010011 11100110 00111100
01101100 01000011
Ta thy rng, ch sai s 1 bit ciphertext trong quá trình truyn, d liu gii mã
ã khác hoàn toàn plaintext ban u.
iu này tuy gây mt s phc tp trong quá trình hiu chnh li, i là
im c mã hoá DES bi vì nu mt thay i nh trong ciphertext

Bước 1 : Mở rộng khoá.
c ca khoá bii trong khong t c
khi s d mã hoá và gii mã cn phi có thao tác chun hoá khoá gi là
m rng khoá (Key Expansion).
c khi mô t hong ca thut toán m rng khoá, c mt s
ký hiu.   m khoá m rng theo byte và theo word.
- Nhìn theo byte, ta ký hiu b m khoá là mc 128
byte t L[0] ti L[127].
- Nhìn theo word, ta ký hiu b c 64 word t K[0]
ti K[63].
Chú ý   ta s dng ký hiu mng K và L cùng ch ti b m khoá vào,

K[i] = L[2*i] + 256*L[2*i+1]
Gi thi dài ca khoá là T byte, vt toán m rng
t T byte khoá vào b m khoá t L[0] ti L[T-1]. Ký hiu s bit có hiu
lc ca khoá vào là T1, s u vào có hiu lc là T8 =
 
8/1T
và mt n bit
c tính theo công thc:
TM = 255 mod 2
8(1-T8)+T1
. 15
Thut toán 
1. for i = T, T+1, 127 do
L[i] = PITABLE[(L[i-1]+L[i-T]) MOD 255]
2. L[128-T8] = PITABLE[L[128-T8] AND TM]

2. M rng khoá to mng khoá m rng K[0], , K[63].
3. Khi to j = 0.
4. Thc hin 5 ln Mixing round.
5. Thc hin 1 ln Mashing round.
6. Thc hin 6 ln Mixing round.
7. Thc hin 1 ln Mashing round.
8. Thc hin 5 ln Mixing round.
9. Bn mã trong mng R[0], , R[3]. 17
Bước 3: Giải mã.
Gii mã thc hin các thao tác c vi quá trình "mix", "mash" trong quá
trình mã hoá, c ký hiu lt là "R-mix" và "R-mash".
a) Các bước R-mix và R-mash thực hiện như sau:
 R-Mix up R[i]:
R[i] = R[i] ROR s[i];
R[i] = R[i]-K[j]-(((R[i-1] AND R[i-2]))-(NOT(R[i-1]) AND R[i3]));
j = j-1;
 R-Mixing round:
R-Mix up R[3], R-Mix up R[2], R-Mix up R[1], R-Mix up R[0]
 R-Mash R[i]:
R[i] = R[i] - K[R[i-1] AND 63];
 R-Mashing round:
R-Mash R[3], R-Mash R[2], R-Mash R[1], R-Mash R[0]
b) Giải mã được thực hiện như sau:
1. Khi to mng R[0], , R[3] cha 64 bit bn mã.
2. M rng khoá to mng K[0], , K[63].
3. Khi to j = 63.
4. Thc hin 5 ln r-mixing round.

i = (i+1) mod 256;
j = (j+S
i
) mod 256;
swap S
i
and S
j
t = (S
i
+S
j
) mod 256
K = S
t
.
K XOR vi bn rõ thì to ra bn mã, K XOR vi bn mã thì to ra bn rõ. 19
1.1.5. Hệ mã hóa IDEA
c xem là hệ mã hoá khối mnh nht hin nay, nó thao tác trên các
khi 64 bit bc khoá vào là 128 bit, s dng cùng thu
mã hoá và gii mã.
Thut toán hong da trên s kt hp ca ba nhóm các phép bii
s. Các phép bii s này d t c v phn cng ln phn m
các phép bii:
+XOR.
+Cng theo module 2
1620
Hình 1-3. Sơ đồ IDEA

3. Cng X
3
vi khoá con th ba.
4. Nhân X
4
vi khoá con th 3.
5. XOR kt qu cc 3.
XOR kt qu cc 4.
6. Nhân kt qu ci khoá con th 5.
7. Cng kt qu cc 7.
8. Nhân kt qu cc 8 vi khoá con th 8.
9. Cng kt qu cc 7 và 9.
10. XOR kt qu cc 1 và 9.
11. XOR kt qu cc 3 và 9.
12. XOR kt qu cc 2 và 10.
13. XOR kt qu cc 4 và 10.
Sau 8 vòng (thc hin 13 , thc hin tip:
1. Nhân X
1
vi khoá con th nht.
2. Cng X
2
vi khoá con th hai.
3. Cng X
3
vi khoá con th ba.
4. Nhân X
4
vi khoá con th 
Các khc ni li v to thành bn mã. Các khoá con c


i phi có nhà thm quy
tin trên mng, vi   i khá nhiu v      n.
Ngoài ra nó còn to ra mm bottleneck (tht nút c trai) trên mng, tt c
các khu liên lc gia mt cp user u phi thông qua S, nên S d b quá ti
gây tc nghn.
23
Cách 3

S dng giao thc  i khoá, ví d giao th  i khóa Diffie-
Hellman.

Giao thc i khoá Diffie-Hellman
A và B thng nht chn mt s nguyên t p, mt phn t nguyên thy
(primitive element) 
{ 
0
, 
1
,

2

p-1
}={1, 2, 3, p-1}
A chn mt s ngu nhiên X
A


B gi bí mt X
B

 A tính:
K=
A
X
B
Y )(
p =
BA
XX

p
 B tính
K=
B
X
A
Y )(
p =
BA
XX

p
y hai bên A, B tri hai giá tr a ca i bc X
A
và X
B

ca h thng quynh bi tính khó ca bài toán tính logarit ri rc. 24
1.2. HỆ MÃ HÓA KHÓA CÔNG KHAI
1.2.1. Khái niệm mã hóa công khai
Các h mc nghiên cu và phát trin t cui nhng
thp k 70. M bo mc bm b phc tp tính toán. Ý ng
n ca các h mt mã này là xây dng nhng h thng sao cho bit khoá
 mã hoá P và thun rc cách
gii mãng là khó do phi khc phc m phc tp tính toán rt l
c khoá gi  gii mã p là
khác nhau. Khoá P - khoá công khai , khóa p - khoá riêng và là khoá bí mt.
 c gi là khoá công khai, vì vy h thc gi là
h mt mã khoá công khai (Public-Key Cryptosystem-PKC).
H mã khoá công khai c  gii quyt hai vn  khó khn tn ti
vi mã hoá truyn th  i xng): ó là vn  qun lý phân phi
khoá và vn  ch ký in t. Khác vi mã hoá truyn thng ch s dng mt
khoá cho c hai b phn mã hoá và giy không cn iu
kin nào khác ngoài vic cung cp mt khoá duy nht và bí mt.
Quá trình mã hoá và gii mã vi khoá công khai c mô t trong hình 1-4:

Hình 1-4. Mã hoá dùng khoá công khai
Plaintext

và khoá bí mt z
b
. Thông ip X c mã hoá bi khoá công
khai ca B:
Y=E(Z
b
, X)
Bên nhn thc hin gii mã vi khoá bí mt ca mình:
X=D(z
b
, Y)
ng hp A gi thông ip cho B và mã hoá bng khoá mt ca A
khi truyn i, B có th gii mã thông ip khi s dng khoá công khai ca A.
Ch có A mi có khoá mt ca A  mã hoá bn tin y ch có A mi
sinh ra bn tin ó, ta có th coi  chng thc cho bn tin. ây chính là
k thut  to lp mt ch ký s. 26
ng hp:
 Thông điệp được truyền và nhận bí mật:
Khi ó A mã hoá thông ip bng khoá công khai ca B (Z
b
) và gi cho B, B
nhn c thông ip s gii mã nó bng khoá mt z
b
ca B.

za

Za

X
X
Ngun
Mã hóa


Y
Cp khóa
z
b
Z
b
A
B

Trích đoạn Hoạt động của giao thức SSL Khái niệm cơ sở hạ tầng mật mã khĩa cơng khai Tình hình sử dụng chứng chỉ khĩa cơng khai CHỨNG CHỈ KHĨA CƠNG KHAI Trường tbsCertificate

---