• Thứ Tư, 27/09/2006 14:32 (GMT+7)

    Một số ứng dụng chữ ký số trong thực tiễn

    Chữ ký số hay còn gọi là chữ ký điện tử được sử dụng trong các giao dịch điện tử. Mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi các tài liệu và kiểm tra tài liệu có thực sự được gửi bởi đối tượng cần giao dịch hay không.

    Chữ ký số dùng kỹ thuật mã hóa khóa công khai (public key) và khóa riêng (private key). Bạn có thể cung cấp khóa công khai của bạn đến bất cứ người nào cần nó, nhưng khóa riêng thì chỉ có bạn là người nắm giữ.

    Ví dụ cơ bản: Mike có hai khóa, một khóa công khai và một khóa riêng. Mike đưa khóa công khai của mình cho Amanda, nhưng giữ lại khóa riêng cho mình. Khi muốn chuyển tài liệu cho Amanda, Mike có thể xác nhận (ký) các tài liệu này dùng chính khóa riêng của mình và gửi chúng đến Amanda. Amanda sau đó sẽ dùng khóa công khai của Mike, để kiểm tra tài liệu mà cô nhận được có thực sự do Mike gửi không.

    ỨNG DỤNG THỨ NHẤT: DÙNG CHỮ KÝ ĐIỆN TỬ CHO EMAIL

    Chúng ta hãy xem xét ứng dụng cụ thể sau đây để hiểu rõ hơn về cách thức dùng chữ ký điện tử trong một giao dịch thông thường. Trong ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3. Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike và tài khoản thứ hai xác lập cho Amanda. Mike là người gửi (sender) và Amanda là người nhận mail (receiver). Trong ví dụ này, website của công ty cổ phần Storks và các tài khoản email của họ được một nhà cung cấp dịch vụ trên Internet (ISP) duy trì. Tất cả nhân viên dùng e-mail tại Storks đều dùng Outlook Express (OE) hoặc Microsoft Outlook là chương trình Mail client mặc định của mình.

    Cài đặt tài khoản email POP3

    1. Mở Outlook Express, chọn menu Tools > Accounts.

    2. Nhấn tab Mail sau đó chọn Add, chọn tiếp Mail. Sau đó wizard sẽ hướng dẫn từng bước để điền name, email address và thông tin về tài khoản POP3. Các thông tin về tài khoản mail được cung cấp bởi ISP.

    Thuê chứng chỉ số cá nhân từ một nhà cung cấp chứng chỉ số công cộng

    Bước kế tiếp, để có thể gửi mail với chữ ký điện tử, Mike cần liên hệ và thuê chứng chỉ số (CA - Certificate Authority) cá nhân từ một nhà cung cấp chứng chỉ số tin cậy, chẳng hạn như Verisign hay Thawte. Thuê chứng chỉ số từ bên cung cấp thứ ba được đánh giá tin cậy là điều cần thiết nếu bạn muốn chuyển email an toàn đến người nhận không cùng trong tổ chức của bạn. (Tổ chức hay công ty cũng có thể cài đặt và triển khai dịch vụ cấp chứng chỉ số nội bộ, tuy nhiên chứng chỉ này không sử dụng được cho các giao dịch điện tử với bên ngoài).

    Công ty Storks đã quyết định sử dụng chứng chỉ số của nhà cung cấp Thawte (www.thawte.com) trong giao dịch với bên ngoài và Mike có thể đăng ký cho mình một tài khoản Personal Email Certificate hoàn toàn miễn phí tại đây (http://www.thawte.com/secure-email/personal-email-certificates/index.html).

    Người dùng cần cung cấp thông tin cá nhân và trả lời 5 câu hỏi. Sau khi đã thực hiện đăng ký, bạn sẽ nhận một email từ Thawte với những hướng dẫn cụ thể cách thức hoàn thành việc xin cấp chứng chỉ số.

    Sau quy trình này, bạn sẽ nhận tiếp một email khác xác nhận chứng chỉ số cá nhân của Thawte đã được cấp cho bạn. Chỉ cần nhấn vào các liên kết trên email này và tiến hành cài đặt chứng chỉ số. Nhấn Yes và OK khi thông báo Certificate Installation Complete xuất hiện.

    Xác nhận điện tử cho email

    Một khi chứng chỉ số cá nhân cho email đã được cài đặt , bạn có thể dùng nó làm chữ ký số và mã hóa các email gửi đi.

    1. Mở OE, dùng tài khoản email POP3 đã tạo ở trên. Chọn Tools > chọn Options, chọn tab Security. Trên tab này, đánh dấu chọn Digitally sign all outgoing messages (tạo chữ ký số cho tất cả email gửi đi). Nhấn Apply và OK.

    2. Nhấn Create Mail và bạn sẽ thấy biểu tượng ruy băng đỏ ở góc trên bên phải. Điều này có nghĩa là email mà bạn gửi đi sẽ được tạo chữ ký số. Điền vào To: địa chỉ email của Amanda. Sau đó nhấn Send.

    3. Chuyển đến tài khoản email POP3 của Amanda và mở email nhận từ Mike. Bạn sẽ thấy email mà Amanda nhận như màn hình bên dưới. Nhấn Continue để xem email thực sự.

    Bạn hãy để ý ruy băng màu đỏ góc phải trên của mail. Điều này cho Amanda biết Mike đã tiến hành gửi email này dùng chữ ký số. Nhấn vào biểu tượng ruy băng đỏ để xem chữ ký số từ người gửi, kiểm tra và thấy nội dung email đã không bị thay đổi và chữ ký số này đáng tin cậy. Có thể xem thông tin về chứng chỉ số cá nhân của người gửi bằng cách nhấn View Certificate.

    Mã hóa email

    Mã hóa là một phương pháp bảo mật thực hiện việc chuyển đổi dữ liệu từ dạng thông thường (plain text) thành dạng không thể đọc theo cách thông thường nhằm đảm bảo tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính xác thực (authenticity) của dữ liệu. Khi bạn mã hóa email thì toàn bộ nội dung thông điệp và các file đính kèm đều được mã hoá.

    1. Mở OE, dùng tài khoản mail POP3 thứ 2 tức của Amanda. Chọn Tools > Options. Nhấn tab Security tab. Đánh dấu chọn Encrypt contents and attachments for all outgoing messages. Nhấn Apply và OK.

    2. Nhấn vào Create Mail và sẽ thấy xuất hiện biểu tượng ổ khóa ở góc trên bên phải. Điều này có nghĩa là email của bạn sẽ được mã hóa khi gửi. Điền vào To: địa chỉ email của Mike và nhấn Send.

    3. Quay trở lại tài khoản email của Mike và mở email mà Amanda vừa gửi. khi bạn mở email, bạn sẽ nhận được thông điệp An application is requesting access to a protected item.

    4. Nhấn OK và sau đó chọn Continue để đọc nội dung email đã mã hóa.

    5. Bạn có thể nhấn biểu tượng ổ khóa màu xanh để xem thông tin chi tiết hơn về email đã mã hóa. Amanda đã không thiết lập chữ ký số cho email này nên tất cả các thông số của Digital Signature đều không có giá trị ("n/a" - not available).

    ỨNG DỤNG THỨ HAI: DÙNG PGP ĐỂ MÃ HÓA FILE

    PGP (Pretty Good Privacy) là phần mềm miễn phí cung cấp khả năng mã hóa PGP trong gửi nhận email và truyền file hàng đầu hiện nay. Tuy nhiên nếu sử dụng cho mục đích thương mại, bạn cần mua phiên bản thương mại của PGP có nhiều tính năng hơn so với phiên bản miễn phí. Mục đích chính của PGP là mã hóa file nhằm đảm bảo an toàn khi được truyền qua Internet.

    Phần mềm PGP miễn phí chỉ được sử dụng cho người dùng cá nhân với mục đích phi thương mại, có thể tải về tại địa chỉ http://www.pgp.com/products/freeware.html.

    Cài đặt PGP

    1. Đăng nhập vào Windows XP với quyền Administrator và khởi động quy trình cài đặt PGP bằng cách nhấn đúp vào file cài đặt. Nhấn Next, đọc các thỏa thuận về bản quyền, nhấn Yes. Màn hình Read Me xuất hiện, nhấn Next sau khi đọc xong phần này. Chọn No, Im a New User, vì bạn là người mới sử dụng, chưa từng tạo và sử dụng các khóa của PGP trước đó.

    2. Giữ nguyên các giá trị mặc định cho Destination Folder và nhấn Next. Chọn các thành phần như hình minh họa, nhấn Next. Nhấn Next lần nữa và Finish để khởi động lại máy.

    3. Đăng nhập lại vào máy với tài khoản của Mike (hoặc nếu Mike chính là Administrator thì đăng nhập bình thường như lần trước). PGP New User Configuration Wizard xuất hiện hướng dẫn Mike các thao tác. Nhấn Next để tiếp tục. Chọn Yes sau đó nhấn Next.

    4. Kế tiếp chọn I am a New User. Create new keyring files for me. Nhấn Next rồi Finish để hoàn thành.

    5. Bạn sẽ thấy xuất hiện hộp thoại PGP License. Nếu đang dùng phiên bản miễn phí, nhấn Later, ngược lại nếu muốn mua bản quyền, nhấn Authorize.

    6. PGP Key Generation Wizard sẽ xuất hiện. Nhấn Next tiếp tục. Điền vào họ tên đầy đủ của bạn và địa chỉ email, sau đó nhấn Next. Trong ví dụ này là tên và địa chỉ email của Mike

    7. Màn hình kế tiếp nhắc bạn điền vào Passphrase, mục đích của Passphrase là bảo vệ việc truy cập khóa riêng (private key). Nên sử dụng Passphrase an toàn (không dễ đoán hoặc dò ra).

    Điền Passphrase và xác nhận (Confirmation), sau đó nhấn Next.

    8. Nhấn Next sau đó chọn Finish để hoàn tất quá trình kích hoạt khóa.

    Xuất khóa công khai PGP

    Tại sao cần phải xuất khóa công khai PGP? Câu trả lời đơn giản như sau. Mục tiêu của ví dụ này là làm sao Amanda có thể mã hóa một file (text) và sau đó gửi nó cho Mike dưới dạng file đính kèm qua email. Để làm được điều này, Amanda cần phải có khóa công khai của Mike.

    Mike đã cài đặt và kích hoạt khóa PGP, tiếp theo anh ấy sẽ xuất khóa công khai của mình và sau đó chuyển khóa này đến cho Amanda để cô có thể mã hóa nội dung file đính kèm gửi qua email. Ngược lại, trong trường hợp Mike gửi file mã hóa cho Amanda thì chính Amanda phải xuất khóa công khai và chuyển cho Mike, để thực hiện giao dịch an toàn.

    1. Nhấn chuột phải vào khoá PGP nằm ở khay hệ thống và nhấn tiếp PGPkeys.

    2. Nhấn Keys và sau đó Export. Điền vào tên file và lưu vào bất kỳ nơi nào dễ nhớ, ví dụ ổ C: hoặc đĩa mềm. Mike đã lưu file này vào đĩa mềm và chuyển nó đến cho Amanda. Và Amanda cũng sẽ làm tương tự.

    Nhập khóa công khai PGP key

    Khi Amanda nhận được khóa công khai từ Mike, cô ấy cần nhập khóa này vào phần mềm PGP.

    1. Nhấn phải chuột vào PGP lock từ khay hệ thống và nhấn PGPkeys. Nhấn Keys và chọn Import.

    2. Chọn khóa dưới tên file là Mike Bowers đã lưu và nhấn Open.

    3. Chọn Mike Bowers và nhấn Import. Thoát khỏi cửa sổ PGPkeys. Tương tự, Mike cũng cần nhập khóa công khai của Amanda gửi cho mình.

    Gửi file mã hóa dùng PGP

    1. Tạo một file text trên desktop có tên Confidential. Nhấn phải vào file và chọn PGP, chọn Encrypt & Sign.

    2. Chọn người nhận là Mike Bowers (recipient) và nhấn OK.

    3. Điền passphrase của Amanda vào và nhấn OK nhằm xác nhận file đã được mã hóa để Mike có thể biết chắc chắn Amanda thực sự là người gửi.

    4. Khi file đã được mã hóa dùng PGP, biểu tượng file sẽ thay đổi như hình minh họa. Và chỉ có những người sau đây có thể mở file này: Amanda (với passphrase của mình), Mike (với passphrase của anh ấy) và người nào đó đánh cắp được passphrase của Amanda hoặc Mike.

    5. Amanda sau đó sẽ gửi file mã hóa này dưới dạng đính kèm email cho Mike.

    6. Mike nhận mail và file đính kèm.

    7. Khi Mike nhấn đúp vào file mã hóa, anh ấy cần đưa chính xác passphrase của mình vào và nhấn OK. Nếu passphrase đúng, file sẽ được giải mã.

    8. Mike đã mở file và xem được nội dung bên trong.

    Tính năng xóa file vĩnh viễn của PGP

    Khi một file đã được hệ thống xóa thường thông tin vẫn còn tồn tại trên đĩa cứng và có thể được phục hồi với phần mềm phục hồi dữ liệu. Thông tin trên đĩa cứng thường chỉ mất đi nếu bị thông tin mới ghi đè lên, ngay cả trong trường hợp này, vẫn có thể phục hồi với một số siêu công cụ phục hồi dữ liệu. PGP cung cấp cho chúng ta một tính năng xóa dữ liệu vĩnh viễn là Wipe, sử dụng phương pháp ghi đè một số thông tin ngẫu nhiên.

    1. Mike sẽ kiểm tra tính năng này trên máy tính của mình. Nhấn phải chuột trên file Confidential và chọn PGP > Wipe.

    2. Chọn file được liệt kê và nhấn Yes. File sẽ bị xóa vĩnh viễn.

    Để có những kiến thức cơ bản về mã hóa và các thuật toán mã hóa phổ biến, bạn có thể tham khảo tài liệu http://www.nis.com.vn/securityarticles/encryptions.pdf.

    Hồ Việt Hà
    Network Information Security Vietnam.
    Email: Networksecurity@Nis.com.vn

    ID: A0609_116