PUBLIC KEY INFRASTRUCTRE

Trong bài đầu tiên, Comptia Security+ đã trình bày 3 nhân tố quan trọng nhất của bảo mật thông tin là C.I.A tựong trưng cho các đặt tính riêng tư, toàn vẹn và tính khả dụng của dữ liệu. Để bảo vệ các yếu tố này thì giải pháp mã hóa là cách thức đem lại hiệu quả cao nhất. Ngay từ thời xa xưa, vị tướng tài ba Cesar đã sáng tạo ra phương pháp mã hóa đơn giãn là Cesar Shilft theo cách dịch chuyển kí tự để đánh lừa quân thù. Cesar Shilft là gì ? Security+ không có đề cập đến khái niệm này, nếu tham khảo ở các tài liệu chính quy thì thuật ngữ trên xuất hiện trong cuốn SIS của giáo trình SCNP. Tuy nhiên các bạn dễ dàng tìm hiểu về Cesar Shilft để bổ sung kiến thức về các giải thuật mã hóa phòng khi Security+ Exam có câuhỏi liên quan đến vấn đề này thông qua các công cụ tìm kiếm trên Internet..

Quay trở lại với vấn đề bảo vệ thông tin theo phương pháp mã hóa, các bạn hãy ghi nhớ có hai trường phái mã hóa khác nhau là mã hóa đối xứng và mã hóa bất đối xứng. Trong mã hóa đối xứng hay còn gọi là Symmetric Encryption  chỉ có 1 khóa duy nhất được sử dụng để mã hóa và giải mã, nên phương pháp này còn được gọi là Private Key với các thuật tóan như Data Encryption Standard (DES), Triple DES (3DES), Advanced Encryption Standard (AES) , Rijndael, Rivest Cipher (RC) 4 và 5, Skipjack, Blowfish, CAST-128. Và chỉ có 1 khóa tham gia quá trình mã hóa cũng như giải mã nên tiến độ thực hiện sẽ nhanh chóng và ít tôn kém hơn, nhưng cũng ít an toàn hơn vì attacker có thể chặn lấy khóa trong quá trình truyền từ ngươi gởi đến ngươi nhận và giải mã được thông điệp.

Do đó, giải pháp bảo mật nâng cao ứng dụng công nghệ mã hóa bất đối xưng hay còn gọi là mã hóa khóa công khai (public key), trong mô hình này 1 khóa dùng để mã hóa (public key) và khóa còn lại dùng để giải mã (private key) không bao giờ được truyền trên mạng, giải pháp này sẽ tăng tối đa sự an toàn cho dữ liệu trong quá trìinh truyền thông

Mã hóa theo phương pháp Private và public key

Đi kèm sự mạnh mẽ trong tiến trình mã hóa thì vấn đề triển khai cũng phức tạp và tốn kém hơn. Trong chương 6 và 7 của giáo trình Security+ sẽ trình bày tổng quan về vấn đề PKI cùng với phương pháp triển khai, quản lý, cấp phát khóa và ứng dụng chúng và môi trường thông tin. Hệ thống PKI thường được mô tả bằng những thuật ngữ phức tạp làm cho học viên và các bạn đọc dễ bị lạc vào một ma trận và nhầm lẫn giữa các khái niệm, chúng tôi sẽ trình bày các kiến thức này một cách dễ hiểu nhất thông qua các ví dụ mình họa giữa đời thường. Các bạn hãy hình dung hệ thống hạ tầng khóa công khai PKI là một tổ chức an ninh bao gồm bộ công an và các cơ quan công an tỉnh thành, các tổ chức này sẽ có nhiệm vụ kiểm tra tính hợp lệ của một công dân Việt Nam thông qua các chứng minh nhân dân (CMND), nếu có CMND thì công dân có quyền sử dụng các dịch vụ như đi máy bay hay được quyền mua nhà (miễn là có tiền hay công việc ổn định )… và cũng thông qua các CMND này chúng ta có thể xác nhận được nguồn gốc của nhau để có thể trao đổi giao dịch. Vậy, sự liên quan nào giữa một hệ thống PKI và hệ thống công quyền trên? Các bạn có thể hình dung các CMND như là những certificate, người dùng trong hệ thống PKI là các công dân trong đời thực và những dịch vụ như mua nhà, lưu trú …giống như các tiện ích mà người dùng hay thiết bị trên hệ thống được dùng sau khi trải qua quá trình xác thực và hợp lệ. Cũng chính vì sự liên quan rất chặt chẽ như vậy mà nhiều nước đã triển khai các hệ thống chứng chỉ điện tử để xác thực các thông tin và cấp phát quyền cho công dân được nhanh chóng và dễ dàng hơn, tuy cũng có những khác biệt nhưng với mô hình tham khảo như trên các bạn sẽ dễ dàng tiếp cận với PKI và những khái niệm khó nhớ của nó như Certificate, CA server …

A - Cài đặt cây phân cấp C.A (certficate Authority) : Trong bài học này các bạn sẽ tiến hành cài đặt 1 cây phần cấp CA, trước khi bắt đầu quá chúng ta sẽ tìm hiểu các thành phần chính của một hệ thống public key infrastructure bao gồm:

Digital certificate (chứng chỉ điện tử): digital certificate là một dữ liệu điện tử liên kết thông tin xác thực của người dùng với public key của mình. Các certificate có thể lưu trữ trên thiết bị hay lưu trong thông tin của người dùng và việc cấp phát các certificate này được thực hiện bởi một máy chủ là CA server, CA server cũng là máy chủ kiểm tra và tạo các mối liên kết giữa public/private key.

Certificate authority : đây là máy chủ có nhiệm vụ cấp các chứng chỉ điện tử và xác thực thông tin của người sử dụng  trong hệ thống PKI. Một người dùng được xem là hợp lệ nếu certificate của anh ta được cấp phát bởi chính C.A xác thực hoặc một CA khác nằm trong hệ thống cây phân cấp với các mối liên kết tin cậy (trusted link). Trong thế giới thực chúng ta có thể hình dung certificate của mình là chứng minh nhân dân và cơ qua công an chính là máy chủ CA, và các cơ quan công an của các tỉnh ngành được liên kết với nhau qua một mối liên kết tin cậy thông qua các mối ủy nhiệm với Root (gốc) là bộ công an.

Public KeyIinfrastructure (PKI) : nhiều người lầm tưởng PKI chính là máy chủ cấp phát chứng chỉ điện tử, vì vậy đây cũng là câu hỏi mà Security+ Exam thường đưa ra trong các kì thi để thẩm định trình độ của ứng viên. Thật ra, CA chỉ là một thành phần trong hệ thống của hạ tầng khóa công khai bao gồm máy chủ CA  , Certificate, các phần mềm và thành phần mã hóa, có nhiệm vụ xác thực và kiểm tra tính hợp lệ của dữ liệu hay các thực thể trong quá trình truyền thông. Vi dụ khi 2 người gởi và nhận mail qua môi trường Internet, để đảm bảo được độ tin cậy và sự an toàn cho thông điệp thì họ thường ứng dụng PKI để mã hóa thư bằng các khóa public key, và người nhận sẽ giải mã thông điệp cũng như kiểm tra nguồn gốc của thông điệp bằng private key của mình. Quá tyrình kiểm tra như thế nào, làm sao để biết được certitfiate được người gởi sử dụng có hợp lệ hay không thì phải có một máy chủ CA tiến hành các công công việc thẩm định trên. Rõ ràng, nếu các khóa public và private key do các CA khác nhau cấp thì không thể xác thực thành công vì chúng không cùng nằm trong một hệ thống PKI, trừ khi các CA này thuộc cây phân cấp CA. Như trong hình minh họa sau là một hệ thống PKI với 2 CA server.

Như vậy chúng ta thấy các thành phần chính của hệ thống PKI gồm có các digital certtificate (chúng chỉ điện tử) dùng cho quá trình xác thực các thực thể trong hệ thống là người dùng hay  thiết bị, một hay nhiều máy chủ CA để cấp phát và kiểm tra các certificate cho đối tượng sử dụng. bên cạnh đó, hệ thống PKI còn có các thành phần khác như RA (registration authority) chịu trách nhiệm kiểm tra tính hợp lệ của ngừoi dùng để ra quyết định chấp nhận hay từ chối yêu cầu cấp phát certificate ví dụ như hệ thống PKI chỉ cấp phát certificate cho các nhân viên của công ty thì các người không thuộc tổ chức (như Active Directory domain) sẽ không được cấp phát khóa. Và dĩ nhiên, một hệ thống không thể thiếu cơ sở dữ liệu dùng để lưu trữ các thông tin và công cụ quản lý, các thành phần này là certificate repository database và certificate management system.

Public Key Cryptography Standards (PKCS) là gì? : các câu hỏi của Security+ hay đề cập đến 2 chuẩn của PKCS là PKCS#7 và PKCS#10. Trong đó PKCS#7 hay Cryptographic Message Syntax Standard mô tả cấu trúc dùng để mã hóa dữ liệu như các digital certificate còn PKCS#10 hay  Certification Request Syntax Standard mô tả cấu trúc của các yêu cầu xin cấp phát khóa. Đây là hai chuẩn mà các bạn cần lưu ý và phân biệt. Để tìm hiểu thêm về các PKCS khác hãy tham khảo tại http://www.rsasecurity.com/rsalabs/node.asp?id=2124 

CA Hierarchies (Trust Models) : trong môi trường thông tin thì điều quan trọng nhất để thực hiện các giao dịch một cách an tòan là xây dụng hệ thống tin cậy thông qua các mối liên hệ ủy nhiệm gọi là trust model, một cây phân cấp CA hay CA hierarchy chính là một hệ thống như vậy.  Với các sự ủy nhiệm thì một đối tượng nhận certificate từ một CA server này có thể được chấp nhận bởi một CA server khác nếu giữa 2 CA server thuộc v2 một Trust Model. Điều này gần giống với hệ thống liên ngân hàng cho phép các bạn sở hữu thẻ ATM của VCB có thể rút tiền từ hệ thống máy của BIDV.

Root CA : để xây dựng cây phân cấp CA cũng gần giống với cây phân cấp Actvie Directory, nghĩa là ta phải xây dựng từ gốc với máy chủ CA đầu tiên sẽ đóng vai trò là Root CA, nó sẽ tự xác thực cho chính bản thân mình và ra quyết định bổ nhiệm các CA server mới là những CA server cha và CA server con thông qua các liên kết ủy quyền. Do tính chất quan trọng của Root CA nên các hệ thống lớn và quan trọng sau khi xây dựng xong hệ thống cây phân cấp CA họ sẽ tiến hành Offline Root CA Server, có thể tắt nguồn rồi lưu trữ ở vị trí an toàn nhất. Điều này thường xuyên được hỏi trong các ki thi của những chứng chỉ bảo mật của Comptia và của cả MicrosoftSecure Exam do đó các bạn hãy ghi nhớ thật kỹ. 

Private root CA và Public root CA : chúng ta có thể tự xây dựng và triển khai hệ thống CA phục vụ cho nhu cầu nội bộ như để xác thực email, lúc đó hệ thống chúng ta mang tính chất riêng tư và cấu trúc như vậy gọi là Private root CA. Ngược lại, trong trường hợp các bạn muốn áp dụng certficate để cho người dùng xác thực và mã hóa thông tin khi sử dụng dịch vụ của mình như ngân hàng VCB hay EAB cấp phát certificate cho các khách hàng để đăng nhập trang ebanking (http://eab.com.vn) thì họ phải mua hay thuê từ các dịch vụ CA công cộng  như Verisign hay Thawte, và các hệ thống này là Public root CA.

Suboradinate CA : là các CA server nằm bên duới Root CA trong cây phân cấp.

Centralized và Decentralized CA Hierarchy : trong các mô hình của CA thì tùy theo cơ chế cấp phát khóa mà chúng ta chia làm 2 lọai đó là hệ thống tập trung và phân tán centralizaed hierarchy và decentralize hierachy. Với cơ chế tập trung như hình minh họa chúng ta thấy Root CA sẽ cấp các end-user certificate trực tiếp cho người dùng.

Còn trong mô hình Decentralized hierarchy thì Root CA chỉ cấp server certificate cho subrdinate CA, và các subordiante này sẽ cấp end-user certificate cho người dùng hay ứng dụng. Và phụ thuộc vào nhu cầu hay kích thước của tổ chức các bạn sẽ lự chọn cho mình một mô hình thích hợp, với một hay nhiều CA server đặt ở những vị trí địa lý khác nhau hay ở cùng một vị trí nhưng khác phòng ban. Hoặc chúng ta chỉ dùng duy nhất Root CA để thực hiện mọi việc cấp phát và xác thực cho công ty của mình khi số lượng người dùng không quá lớn khỏang 100 user trở lại.

Qua các kiến thức tổng quát về CA và những thành phần của PKI như trên, các bạn có thể tự tin trả lời những câu hỏi của Security+ Exam về chủ đề PKI. Trong phần tiếp theo chúng ta sẽ tiền hành cài đặt để hiểu hơn về công nghệ này.

SECURITY365 | HOCTRUCTUYEN.ORG
SECURITY+ ELEARNING COURSE | LESSON 6 PKI