TRƢỜNG ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

--------

ĐINH TUẤN ANH

TÌM HIỂU HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI – PKI,
ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ
(DỊCH VỤ CÔNG TRỰC TUYẾN CẤP ĐỘ 3 VÀ TRUYỀN NHẬN
CHỨNG TỪ TRONG THƢƠNG MẠI ĐIỆN TỬ)

LUẬN VĂN THẠC SĨ

Hà Nội – 2011


TRƢỜNG ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

--------

ĐINH TUẤN ANH

TÌM HIỂU HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI – PKI,
ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ
(DỊCH VỤ CÔNG TRỰC TUYẾN CẤP ĐỘ 3 VÀ TRUYỀN NHẬN
CHỨNG TỪ TRONG THƢƠNG MẠI ĐIỆN TỬ)

Ngành



Mã hóa ................................................................................................. 5

1.2.2.

Ký số................................................................................................... 12

1.2.3.

Chứng chỉ số. ...................................................................................... 16

Chương 2. CÁC CÔNG NGHỆ DÙNG TRONG XÂY DỰNG PKI...................... 19
2.1. CÔNG NGHỆ OPENCA .............................................................................. 19
2.1.1.

Thiết kế tổng quan .............................................................................. 20

2.1.2.

Hướng dẫn sử dụng. ........................................................................... 23

2.2. CÔNG NGHỆ SSL ........................................................................................ 26
2.2.1.

Giới thiệu về SSL ................................................................................ 26

2.2.2.

Các phiên bản ..................................................................................... 28


Bảo mật của SSL ................................................................................. 49

2.2.11.

Ưu điểm và hạn chế của SSL ............................................................... 50


Chương 3: ỨNG DỤNG PKI TRONG THƢƠNG MẠI ĐIỆN TỬ ....................... 54
3.1. TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ ............................................. 54
3.1.1.

Khái niệm thương mại điện tử ............................................................. 54

3.1.2.

Các mô hình thương mại điện tử ......................................................... 57

3.1.3.

Đặc trưng của thương mại điện tử ...................................................... 59

3.2. MỘT SỐ BÀI TOÁN ĐẶC TRƢNG TRONG THƢƠNG MẠI ĐIỆN TỬ 61
3.2.1.

Giới thiệu............................................................................................ 61

3.2.2.

Một số bài toán trong quảng cáo trực tuyến........................................ 61


4.3. HƢỚNG DẤN SỬ DỤNG ............................................................................. 84
4.3.1.

Ký số: ................................................................................................. 85

4.3.2.

Xác thực: ............................................................................................ 86

4.3.3.

Mã hóa: .............................................................................................. 88

4.3.4.

Giải mã: ............................................................................................. 90

KẾT LUẬN .............................................................................................................. 92
TÀI LIỆU THAM KHẢO ....................................................................................... 93
PHỤ LỤC ................................................................................................................. 94


DANH MỤC HÌNH VẼ
Hình 1: Mô hình mã hóa đối xứng ............................................................................... 8
Hình 2: Mô hình mã hóa khóa công khai.................................................................... 10
Hình 3: Mô hình ký số ............................................................................................... 12
Hình 4: Tạo đại diện thông điệp và ký số ................................................................... 14
Hình 5: Xác thực chữ ký số........................................................................................ 15
Hình 6: Cái nhìn hƣớng CSDL của PKI ..................................................................... 20
Hình 7: Cái nhìn dữ liệu logic .................................................................................... 21


Từ viết tắt
PKI

Public Key Infastructure. Hạ tầng mật mã khóa công khai

WWW

World Wide Web

SSL

Secure Socket Layer. Giao thức truyền tin an toàn

ABA

Một dự án của American Bar Association

USA

Liên bang hoa kỳ

CA

Certificate Authority. Cơ quan xác thực/ cấp phát chứng chỉ số

RA

Registration Authority. Cơ quan đăng ký cấp phát chứng chỉ số


chứng chỉ và chữ ký số, những ứng dụng cho phép PKI đƣa ra nhiều đặc tính đảm bảo
an toàn thông tin cho ngƣời sử dụng. Luận văn này đƣợc thực hiện với mục đích tìm
hiểu nghiên cứu về PKI, bao gồm các khái niệm tổng quan về mật mã, chứng chỉ số,
các khái niệm cơ sở về PKI, chức năng và các thành phần PKI, ứng dụng PKI trong
thƣơng mại điện tử.
Luận văn bao gồm 4 chƣơng:
Chƣơng 1: Tổng quan về hạ tầng mật mã khóa công khai
Giới thiệu các khái niệm về hạ tầng mật mã khóa công khai, hệ mật mã đối
xứng, hệ mật mã phi đối xứng hay còn đƣợc gọi là hệ mật mã khoá công khai; ƣu và
nhƣợc điểm của các hệ mã này; khái niệm về chữ ký số và hàm băm, sơ đồ chữ ký số
Chƣơng 2: Các công nghệ dùng trong xây dựng PKI
Giới thiệu các công nghệ OPENCA và SSL
Chƣơng 3: Ứng dụng PKI trong thƣơng mại điện tử
Giới thiệu tổng quan về thƣơng mại điện tử. Các bài toán đặc trƣng trong thƣơng
mại điện tử. Hƣớng dẫn cài đặt và sử dụng chƣơng trình ký số, mã hóa, xác thực, giải
mã.
Chƣơng 4: Thử nghiệm một số chƣơng trình trong PKI
Thử nghiệm ứng dụng mã hóa và ký số trong việc truyền nhận chứng từ trong
TMĐT


3

Chương 1. TỔNG QUAN VỀ HẠ TẦNG MẬT MÃ KHÓA CÔNG
KHAI
1.1.

CÁC KHÁI NIỆM CƠ BẢN.

Hạ tầng khóa mật mã khóa công khai (Public Key Infastructure: PKI) có thể hiểu

4

vậy ý tƣởng về việc gắn định dạng ngƣời dùng với chứng thực đƣợc bảo vệ bằng các
kỹ thuật mật mã đã đƣợc phát triển một cách mạnh mẽ.
Nhiều giao thức sử dụng các kỹ thuật mật mã mới đã đƣợc phát triển và phân
tích. Cùng với sự ra đời và phổ biến của World Wide Web, những nhu cầu về thông tin
an toàn và nhận thực ngƣời sử dụng càng trở nên cấp thiết. Chỉ tính riêng các nhu cầu
ứng dụng cho thƣơng mại (nhƣ giao dịch điện tử hay truy cập những cơ sở dữ liệu
bằng trình duyệt web) cũng đã đủ hấp dẫn các nhà phát triển lĩnh vực này. Taher
ElGamal và các cộng sự tại Netscape đã phát triển giao thức SSL (https trong địa chỉ
web) trong đó bao gồm thiết lập khóa, nhận thực máy chủ... Sau đó, các thiết chế PKI
đƣợc tạo ra để phục vụ nhu cầu truyền thông an toàn.
Các nhà doanh nghiệp kỳ vọng vào một thị trƣờng hứa hẹn mới đã thành lập
những công ty hoặc dự án mới về PKI và bắt đầu vận động các chính phủ để hình
thành nên khung pháp lý về lĩnh vực này. Một dự án của American Bar Association đã
xuất bản một nghiên cứu tổng quát về những vấn đề pháp lý có thể nảy sinh khi vận
hành PKI (xem thêm: các hƣớng dẫn chữ ký số ABA). Không lâu sau đó, một vài tiểu
bang của Hoa kỳ mà đi đầu là Utah (năm 1995) đã thông qua những dự luật và quy
định đầu tiên. Các nhóm bảo vệ quyền lợi ngƣời tiêu dùng thì đặt ra các vấn đề về bảo
vệ quyền riêng tƣ và các trách nhiệm pháp lý. Đến năm 1999: liên bang Hoa Kỳ
(USA) có Luật giao dịch điện tử đồng nhất (Uniform Electronic Transactions Act:
UETA). Năm 1997: CHLB Đức có Luật chữ ký số (Digital Signature Act). Năm 1998:
Singapore có Luật giao dịch điện tử (Electronic Transactions Act)
Tuy nhiên, các luật và quy định đã đƣợc thông qua lại không thống nhất trên thế
giới. Thêm vào đó là những khó khăn về kỹ thuật và vận hành khiến cho việc thực
hiện PKI khó khăn hơn rất nhiều so với kỳ vọng ban đầu.
Tại thời điểm đầu thế kỷ 21, ngƣời ta nhận ra rằng các kỹ thuật mật mã cũng nhƣ
các quy trình/giao thức rất khó đƣợc thực hiện chính xác và các tiêu chuẩn hiện tại
chƣa đáp ứng đƣợc các yêu cầu đề ra.
Thị trƣờng PKI thực sự đã tồn tại và phát triển nhƣng không phải với quy mô đã



Mã hóa hoặc xác thực văn bản (Các tiêu chuẩn Chữ ký XML; hoặc mã hóa
XML khi văn bản đƣợc thể hiện dƣới dạng XML).



Xác thực ngƣời dùng ứng dụng (Đăng nhập bằng thẻ thông minh, nhận thực
ngƣời dùng trong SSL).



Các giao thức truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE,
SSL): trao đổi khóa bằng khóa bất đối xứng, còn mã hóa bằng khóa đối
xứng.

1.2.

CÁC THÀNH PHẦN KỸ THUẬT CƠ BẢN TRONG PKI

1.2.1. Mã hóa
Mã hóa là công cụ cơ bản của việc đảm bảo an toàn dữ liệu. Ở thời kỳ sơ khai,
con ngƣời đã sử dụng nhiều phƣơng pháp để bảo vệ các thông tin bí mật, nhƣng tất cả
các phƣơng pháp đó chỉ mang tính nghệ thuật hơn là khoa học. Ban đầu, mật mã học
đƣợc sử dụng phổ biến cho quân đội, qua nhiều cuộc chiến tranh, vai trò của mật mã
ngày càng quan trọng và mang lại nhiều thành quả không nhỏ nhƣ các hệ mã cổ điển
Caeser, Playfair,…Chúng đã là nền tảng cho mật mã học này nay.
Ngày nay, khi toán học đƣợc áp dụng cho mật mã học thì lịch sử của mật mã học
đã sang trang mới. Việc ra đời các hệ mã hóa đối xứng không làm mất đi vai trò của
các hệ mật mã cổ điển mà còn bổ sung cho ngành mật mã nhiều phƣơng pháp mã hóa

Hệ mật mã đƣợc định nghĩa là bộ năm ( P,C,K,E,D), trong đó:
- P là tập hữu hạn các bản rõ có thể
- C là tập hữu hạn các bản mã có thể
- K là tập hữu hạn khóa có thể
- E là tập các hàm lập mã
- D là tập các hàm giải mã. Với mỗi k  K có một hàm lập mã Ek  E (Ek:P 
C) và một hàm giải mã Dk  D (Dk : C  P) sao cho Dk (Ek (x)) = x ,  x  P.


7

Với khóa lập mã kl  K, có hàm lập mã ekl  E, ekl: P C,
Với khóa giải mã kg  K, có hàm giải mã dkg  D, dkg: C P,
sao cho dkg (ekl (x)) = x,  x  P.
Ơ đây x đƣợc gọi là bản rõ, ekl (x) đƣợc gọi là bản mã.
Trên đƣờng truyền tin, thông tin đƣợc mã hoá để bảo đảm bí mật:
Ngƣời gửi G   ekl (T)   Ngƣời nhận N
(có khóa lập mã kl) (có khóa giải mã kg)

Tin tặc có thể trộm bản mã ekl (T)
Ngƣời gửi G muốn gửi bản tin T cho ngƣời nhận N. Để bảo đảm bí mật, G mã
hoá bản tin bằng khóa lập mã kl, nhận đƣợc bản mã ekl (T), sau đó gửi cho N.
Tin tặc có thể trộm bản mã ekl (T), nhƣng cũng “khó” hiểu đƣợc bản tin gốc T
nếu không có khoá giải mã kg.
Ngƣời N nhận đƣợc bản mã, họ dùng khoá giải mã kg, để giải mã ekl (T), sẽ nhận
đƣợc bản tin gốc T = dkg(ekl (T)).
Hiện nay các hệ mật mã đƣợc phân làm hai loại chính là: Hệ mật mã đối xứng và
hệ mật mã bất đối xứng (hay còn gọi là hệ mật mã khóa công khai).
Mật mã đối xứng: có khóa lập mã và khóa giải mã “giống nhau”, theo nghĩa biết
đƣợc khóa này thì “dễ” tính đƣợc khóa kia. Phải giữ bí mật cả 2 khóa. Các hệ mật mã

Thuật toán mã
hóa

Thuật toán
giải mã

Đầu ra
bản rõ

Hình 1: Mô hình mã hóa đối xứng
Khóa bí mật dùng chung giữa ngƣời gửi và ngƣời nhận nếu đƣợc sinh ra bởi
ngƣời gửi (hoặc ngƣời gửi), khóa phải đƣợc chuyển cho ngƣời còn lại theo một kênh
bí mật nào đó. Có thể dùng một thành viên thứ 3 (đáng tin cậy) sinh khóa và phân phối
khóa một cách bí mật cho cả ngƣời gửi và ngƣời nhận.
1. Các đặc điểm của Hệ mã hóa khóa đối xứng.


Ƣu điểm:
- Tốc độ mã hóa và giải mã nhanh.
- Sử dụng đơn giản: chỉ cần dùng một khoá cho cả 2 bƣớc mã và giải mã.
- Mật mã khoá đối xứng (nhất là mã máy điện tử và vi điện tử hiện đại) đã đƣợc
đánh giá là an toàn và thực tế đã đƣợc thử thách tính an toàn của chúng qua thực
tiễn. Cho nên hiện nay, chúng đƣợc dùng trong các lĩnh vực quân sự, Ngoại giao,
trong an ninh quốc gia và cả trong kinh tế,v.v.


9




khoá (KDC), lý do là trung tâm này có thể để lộ khoá.
Vấn đề thứ hai mà Diffie đặt ra là "chữ ký số". Nếu việc sử dụng mật mã trở nên
phổ biến, không chỉ trong lĩnh vực quân sự mà còn đƣợc sử dụng cho các mục đích
thƣơng mại và cá nhân, thì các thông báo và tài liệu điện tử cần có các chữ ký và
chúng có hiệu lực tƣơng tự nhƣ các chữ ký trên giấy tờ.


10

Các thuật toán khoá công khai sử dụng một khoá để mã hoá và một khoá khác để
giải mã (tạo thành một cặp khoá). Chúng có tính chất quan trọng sau đây: “Khó có thể
xác định đƣợc khoá giải mã nếu chỉ căn cứ vào các thông tin về thuật toán và khoá mã
hoá.”
Mã hóa khóa công khai hay còn gọi mã hóa khóa phi đối xứng là Hệ mã hóa có
khóa lập mã và khóa giải mã khác nhau (kl  kg), biết đƣợc khóa này cũng “khó” tính
đƣợc khóa kia.
Hệ mã hóa này còn đƣợc gọi là Hệ mã hoá khóa công khai, vì:
Khoá lập mã cho công khai, gọi là khoá công khai (Public key).
Khóa giải mã giữ bí mật, còn gọi là khóa riêng (Private key).
Một ngƣời bất kỳ có thể dùng khoá công khai để mã hoá bản tin, nhƣng chỉ
ngƣời nào có đúng khoá giải mã thì mới có khả năng xem đƣợc bản rõ.
Vòng khóa
công khai
của Alice
Joy

Ted
Mike

Bob

khai của B.
- Khi B nhận đƣợc thông báo, B giải mã thông báo bằng khoá riêng của B.
Không một ngƣời nhận nào khác có thể giải mã thông báo, bởi vì chỉ có B mới
biết khoá riêng của mình.
Với cách giải quyết này, tất cả các thành viên tham gia truyền thông có thể truy
nhập vào các khoá công khai. Khoá riêng do mỗi thành viên sinh ra không bao giờ
đƣợc phân phối. Quá trình liên lạc chỉ an toàn chừng nào hệ thống còn kiểm soát đƣợc
khoá riêng của mình. Một hệ thống có thể thay đổi các khoá riêng của nó bất cứ lúc
nào, đồng thời công bố các khoá công khai cùng cặp để thay thế khoá công khai cũ.
2.


Các đặc điểm của Hệ mã khoá công khai.
Ƣu điểm:
- Ngƣời mã hoá dùng khóa công khai, ngƣời giải mã giữ khóa bí mật. Khả năng
lộ khóa bí mật khó hơn vì chỉ có một ngƣời gìn giữ.
- Nếu kẻ phá hoại biết khoá công khai, cố gắng tìm khoá bí mật, thì chúng phải
đƣơng đầu với bài toán “khó”.
- Khi biết các tham số ban đầu của hệ mã hóa, việc tính ra cặp khoá công khai và
bí mật phải là “dễ”, tức là trong thời gian đa thức.
- Ngƣời gửi có bản rõ P và khoá công khai, thì “dễ” tạo ra bản mã C.
- Ngƣời nhận có bản mã C và khoá bí mật, thì “dễ” giải đƣợc thành bản rõ P.
- Nếu kẻ phá hoại biết khoá công khai và bản mã C, thì việc tìm ra bản rõ P cũng
là bài toán “khó”, số phép thử là vô cùng lớn, không khả thi.
- Hệ mã hóa khóa công khai tiện lợi hơn Hệ mã hóa đối xứng cổ điển còn ở chỗ:
- Thuật toán đƣợc viết một lần, công khai cho nhiều lần dùng và cho nhiều ngƣời
dùng, chỉ cần giữ bí mật khóa riêng.




chữ kí gốc nằm ở mặt sau của thẻ tín dụng để kiểm tra. Dĩ nhiên, đây không phải là
phƣơng pháp an toàn vì nó dễ dàng bị giả mạo.
“Chữ kí số” có thể đƣợc kiểm tra chính xác nhờ dùng một thuật toán kiểm tra
công khai. Nhƣ vậy, bất kỳ ai cũng có thể kiểm tra đƣợc chữ kí số. Việc dùng một sơ
đồ chữ kí an toàn có thể sẽ ngăn chặn đƣợc khả năng giả mạo.

Người
gửi

Khóa công khai
của người gửi

Khóa bí mật của
người gửi

Bản rõ

Chữ
ký số

-------------------------------------------------------------------------------------------------

Thuật toán mã hóa khóa
công khai

Bản rõ
-------------------------------------------------------------------------------------------------

Thuật toán giải mã khóa
công khai

đi.


14

Bản rõ

Bản rõ

-------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------

Digest

Băm
Chữ ký
số
Đại diện
thông điệp
Digest

Ký

Hình 4: Tạo đại diện thông điệp và ký số
2). Ngƣời nhận: Định danh ngƣời ký, kiểm tra tính toàn vẹn của thông điệp.
 Giải mã thông điệp bằng khoá riêng của mình, giải mã chữ ký bằng khoá công
khai của ngƣời gửi để lấy “Đại diện” ra.
 Cho thông điệp qua hàm băm để tạo ra “Đại diện” mới.
 So sánh “Đại diện” mới với “Đại diện” nhận đƣợc.

giống nhƣ bằng lái xe, hộ chiếu, chứng minh thƣ.
Chứng chỉ số là kết quả của dự án phát triển chuẩn thƣ mục X.500 của ITU-T
phát triển vào cuối những năm thập niên 90. Chứng chỉ số đƣợc ITU-T đặc tả trong tài
liệu X.509 và dần đƣợc thay đổi qua các phiên bản cho phù hợp với thực tế. Hiện nay
Chứng chỉ X.509 phiên bản 3 đƣợc sử dụng trong các hệ thống xác thực.
Một nơi có thể chứng nhận các thông tin của một thực thể là đúng, nó đƣợc gọi là
cơ quan xác thực chứng chỉ (Certificate Authority - CA). Đó là một đơn vị có thẩm
quyền xác nhận định danh và cấp các chứng chỉ số. CA có thể là một đối tác thứ ba
độc lập hoặc tổ chức tự vận hành một hệ thống tự cấp các chứng chỉ cho nội bộ.
Các phƣơng pháp để xác định định danh phụ thuộc vào các chính sách mà CA
đặt ra. Chính sách lập ra phải đảm bảo việc cấp chứng chỉ số phải đúng đắn, ai đƣợc
cấp và mục đích dùng vào việc gì. Thông thƣờng, trƣớc khi cấp một chứng chỉ số, CA
sẽ công bố các thủ tục cần thiết phải thực hiện cho các loại chứng chỉ số.
Chứng chỉ số chứa khóa công khai, đƣợc gắn với một tên duy nhất của một đối
tƣợng (nhƣ tên của một cá nhân hay máy dịch vụ). Chứng chỉ số giúp ngăn chặn việc
sử dụng khóa công khai cho việc giả mạo. Chỉ có khóa công khai đƣợc chứng thực bởi
chứng chỉ số sẽ làm việc với khóa bí mật tƣơng ứng. Nó đƣợc sở hữu bởi đối tƣợng
với định danh đã đƣợc ghi trong chứng chỉ số.
Ngoài khóa công khai, chứng chỉ số còn chứa thông tin về đối tƣợng nhƣ tên mà
nó nhận diện, hạn dùng, tên của CA cấp chứng chỉ số, mã số … Quan trọng nhất là
chứng chỉ số phải có “chữ ký số” của CA đã cấp chứng chỉ đó. Giống nhƣ chứng chỉ
đã đƣợc “đóng dấu”, để cho ngƣời dùng khóa công khai có thể kiểm tra.


17

Một ngƣời muốn sử dụng Hệ mã hóa khóa công khai để mã hóa thông báo và gửi
cho ngƣời nhận, ngƣời gửi phải có bản sao khóa công khai của ngƣời nhận. Một ngƣời
muốn kiểm tra chữ ký số của ngƣời khác, họ phải có bản sao khóa công khai của ngƣời
ký.


18

ta có thể thu đƣợc khóa công khai của thuê bao bằng cách tìm trong bản sao chứng chỉ
của họ, lấy ra khóa công khai. Tất nhiên trƣớc đó anh ta phải kiểm tra chữ ký trên
chứng chỉ có đúng là của CA không.
Hệ thống cấp chứng chỉ nhƣ trên là đơn giản và kinh tế khi đƣợc thiết lập trên
diện rộng và tự động, bởi vì một trong các đặc tính quan trọng của chứng chỉ là:
“Các chứng chỉ có thể đƣợc phát hành mà không cần phải bảo vệ thông qua các
dịch vụ an toàn truyền thông để đảm bảo xác thực và toàn vẹn”.
Chúng ta không cần giữ bí mật khóa công khai, nhƣ vậy chứng chỉ không phải là
bí mật. Hơn nữa, ở đây không đòi hỏi các yêu cầu về tính xác thực và toàn vẹn do các
chứng chỉ tự bảo vệ. Chữ ký của CA trong chứng chỉ đã cung cấp tính xác thực và toàn
vẹn. Ngƣời dùng khóa công khai trong các chứng chỉ nhƣ trên đƣợc gọi là thành viên
tin cậy.
Kẻ truy nhập trái phép định làm giả chứng chỉ khi chứng chỉ này đang lƣu hành
cho những ngƣời sử dụng khóa công khai, họ sẽ phát hiện ra việc làm giả, bởi vì chữ
ký của CA có thể đƣợc kiểm tra chính xác. Chính vì thế các chứng chỉ khóa công khai
đƣợc phát hành theo cách không an toàn, ví dụ nhƣ thông qua các máy chủ, các hệ
thống thƣ mục, các giao thức truyền thông không an toàn.
Lợi ích cơ bản của hệ thống cấp chứng chỉ là: ngƣời sử dụng khóa công khai có
đƣợc số lƣợng lớn các khóa công khai của nhiều ngƣời dùng một cách tin cậy, nhờ
khóa công khai của CA. Lƣu ý rằng chứng chỉ số chỉ có nghĩa khi CA phát hành các
chứng chỉ hợp lệ.


19

Chương 2. CÁC CÔNG NGHỆ DÙNG TRONG XÂY DỰNG PKI
2.1.

lớn.