Chữ ký số hay còn gọi là chữ ký điện tử có thể được hình dung t ương tự như chữ ký viết
tay. Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ kí
điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào
đó: văn bản, ảnh, video, . và dữ liệu đó trong quá trình chuyển nhận có bị thay đổi hay
không.
Tóm lại, mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi trong các t ài liệu và
cũng là để thực hiện việc kiểm tra tài liệu có thực sự được gửi bởi chủ thể cần giao dịch
hay không.
Chữ ký số dùng kỹ thuật mã hóa khóa công khai và khóa riêng (public key/private key
cryptography).
Bạn có thể cung cấp khóa công khai của bạn (public key) đến bất cứ người nào cần nó.
Nhưng khóa riêng (private key) thì chỉ có bạn l à người nắm giữ.
26 trang |
Chia sẻ: luyenbuizn | Lượt xem: 1166 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Thực hành: Một số giao dịch dùng chữ ký điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Thực hành: Một số giao dịch dùng chữ Ký điện tử
Tài liệu thực hành này trích trong chương trình đào tạo
bảo mật trực tuyến 2006
Khái niệm về chữ ký số (chữ ký điện tử):
Chữ ký số hay còn gọi là chữ ký điện tử có thể được hình dung tương tự như chữ ký viết
tay. Chữ ký điện tử được sử dụng trong các giao dịch điện tử. Xuất phát từ thực tế, chữ kí
điện tử cũng cần đảm bảo các chức năng: xác định được người chủ của một dữ liệu nào
đó: văn bản, ảnh, video, ... và dữ liệu đó trong quá trình chuyển nhận có bị thay đổi hay
không.
Tóm lại, mục đích chính của chữ ký số nhằm ngăn chặn việc thay đổi trong các tài liệu và
cũng là để thực hiện việc kiểm tra tài liệu có thực sự được gửi bởi chủ thể cần giao dịch
hay không.
Chữ ký số dùng kỹ thuật mã hóa khóa công khai và khóa riêng (public key/private key
cryptography).
Bạn có thể cung cấp khóa công khai của bạn (public key) đến bất cứ người nào cần nó.
Nhưng khóa riêng (private key) thì chỉ có bạn là người nắm giữ.
Ví dụ cơ bản: Mike có hai khóa, một khóa công khai và một khóa riêng. Mike đưa khóa
công khai của mình cho Amanda, nhưng giữ lại khóa riêng cho mình. Khi muốn chuyển
tài liệu cho Amanda, Mike có thể xác nhận (ký) các tài liệu này dùng chính khóa riêng
của mình và gửi chúng đến Amanda. Amanda sau đó sẽ dùng khóa công khai của Mike,
để có thể kiểm tra tài liệu mà cô ấy nhận được, thực sự được gửi bởi Mike.
Ứng dụng thứ nhất: dùng chữ ký điện tử cho Email
Chúng ta hãy bắt tay vào ứng dụng cụ thể sau đây để hiễu rõ hơn về cách thức dùng chũ
ký điện tử trong một giao dịch thông thường.
Trong mô ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3.
Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike (trong ví dụ này Mike sẽ dùng để
gửi email và tài khoản thứ hai xác lập cho Amanda (Amanda sẽ dùng để nhận e-mails và
kiểm tra chữ ký điện tử nhằm xác định các mails này đúng là đến từ Mike )
Cấn kiểm tra kết nối Internet đã sẵn sàng cho việc gửi và nhận e-mails. Xin nhắc lại,
Mike chính là người gửi (sender) và Amanda sẽ là người nhận mails (receiver). Trong ví
dụ này, website của công ty cổ phần Storks và các tài khoản emails của họ được một nhà
cung cấp dịch vụ/lưu trữ Web (web hosting service) trên Internet duy trì. Nhà cung cấp
dịch vụ Web cung cấp cho công ty Storks các thông tin về tài khoản email cho Mike và
Amanda, những tài khoản sẽ được sử dụng trong ví dụ này. Tất cả nhân viên dùng e-mail
tại Storks đều dùng Outlook Express hoặc Microsoft Outlook là chương trình Mail client
mặc định của mình.
Cài đặt một tài khoản email POP3
1. Mike sử dụng Outlook Express là chương trình mail client mặc định của mình. Đăng
nhập vào Windows XP Computer của mình (Pro-1).
Mở Outlook Express từ menu chọn Tools, chọn Accounts.
2. Click vào Mail tab sau đó chọn Add, chọn tiếp Mail. Sau đó wizard sẽ hướng dẫn
Mike từng bước để điền name, email address và thông tin về tài khoản POP3. các thông
tin về tài khoản mail được cung cấp bởi ISAP hoặc nhà cung cấp dịch vụ Web (web
hosting).
Lưu ý: Bạn cần cài đặt thêm một tài khoản POP3 thứ hai dành cho Amanda theo cùng
cách thức trên để kiểm tra chữ ký điện tử của các tài liệu nhận được từ email của Mike.
Thuê một chứng chỉ số cá nhân (personal certificate) từ một nhà cung cấp chứng chỉ
số công cộng (public CA)
3. Bước kế tiếp, để có thể gửi mail với chũ ký điện tử, Mike cần liên hệ và thuê chứng chỉ
số cá nhân từ một nhà cung cấp chứng chỉ số tin cậy (trusted public CA), chẳng hạn như
Verisign hay Thawte. Thuê chứng chỉ số từ bên cung cấp thứ ba (3rd party) được đánh
giá tin cậy là điều cần thiết nếu bạn muốn chuyển email an toàn đến một người nhận
không cùng trong tổ chức của bạn. Vì thông thường, trong một tổ chức, để đảm bảo an
toàn cho các giao dịch nội bộ dùng chữ ký điện tử, tổ chức đó thường sử dụng dịch vụ
cung cấp chứng chỉ số an toàn của riêng mình (ví dụ cài đặt và triển khai dịch vụ cung
cấp chứng chỉ số Certificate Authority –CA, trên Windows Server 2003) . Tuy nhiên nhà
cung cấp chứng chỉ số cục bộ này không thường được sử dụng cho các giao dịch điện tử
với các giao dịch không cùng tổ chức của bạn.
Chính vì những lý do này, nên công ty Storks đã quyết định sử dụng chứng chỉ số của
nhà cung cấp Thawte (www.thawte.com), để trang bị cho Mike trong các giao dịch email
dùng chứng chỉ số cá nhân.
Và Mike có thể đăng ký cho mình một tài khoản Personal Email Certificate hoàn toàn
miễn phí tại đây. Truy cập weblink sau và tiến hành đăng ký để nhận chứng chỉ số cá
nhân
Lưu ý quan trọng:
Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn. Các thông tin này là
cần thiết và sẽ được các hệ thống CA của Thawte xử lý trong tiến trình cấp pháp chứng
chỉ số cho bạn. Đảm bảo phải đọc tất cả các thông tin về việc cung cấp chứng chỉ số trên
Website của Thawte và biết những việc gì cần thiết phải thực hiện trong suốt quá trình
đăng ký.
Bạn cần cung cấp thông tin cá nhân và trả lời 5 câu hỏi xác nhận cho chính mình.Sau khi
đã thực hiện đăng ký, bạn sẽ nhận một email từ Thawte với những hướng dẫn cụ thể cách
thức hoàn thành việc xin cấp chứng chỉ số.
Sau quy trình này, bạn sẽ nhận tiếp một email khác xác nhận chứng chỉ số cá nhân của
Thawte đã được cấp cho bạn. Chỉ cần click vào các link trên Email này và tiến hành cài
đặt chứng chỉ số. Click Yes và OK khi thông báo Certificate Installation Complete xuất
hiện .
Xác nhận điện tử cho các emails
Một khi chứng chỉ số cá nhân cho email đã được cài đặt , bạn có thể dùng nó làm chữ ký
số và mã hóa các email gửi đi.
1. Mở Outlook Express dùng tài khoản email POP3 đầu tiên đã tạo ở trên. Chọn
Tools, chọn Options và chọn Security tab. Trên tab này, chúng ta sẽ có một tùy chọn
encrypt and digitally sign your outgoing messages. Click Apply và OK.
2. Click vào Create Mail và bạn sẽ thấy biểu tượng ruy băng đỏ ở góc trên bên phải.
Điều này có nghĩa là email mà bạn gửi đi sẽ được xác nhận với chữ ký số. điền vào To:
người nhận địa chỉ email là Amanda (email POP3 thứ 2 bạn tạo)
Sau đó click Send.
3. Chuyển đến tài khoản email POP3 của Amanda và mở email nhận được từ Mike. Bạn
sẽ thấy message mà Amanda nhận sẽ tương tự màn hình bên dưới. Click vào Continue
để xem thông điệp thực sự .
Bạn hãy để ý ruy băng màu đỏ góc phải trên của mail. Điều này cho Amanda biết rằng
Mike đã tiến hành gửi mail này dùng chữ ký số. Click vào biểu tượng ruy băng Đỏ để
xem chữ ký số từ người gửi (sender). Kiểm tra và thấy rằng nội dung mail đã không bị
thay đổi và chữ ký số này là đáng tin cậy. Có thể xem thông tin về chứng chỉ số cá nhân
của sender bằng cách click View Certificate.
Mã hóa Emails
Mã hóa là một phương pháp bảo mật thực hiện việc chuyển đổi dữ liệu từ dạng thông
thường (plain text) thành dạng không thể đọc theo cách thông thường (unreadable text)
nhằm đảm bảo sự cẩn mật (confidentiality), tính tích hợp (integrity) và tính chất xác thực
(authenticity) của dữ liệu . Khi bạn mã hóa email, thì toàn bộ email sẽ được mã hóa bao
gồm phần thông điệp và các file đính kèm (attachments). Một chữ ký số sẽ đảm bảo tính
chất xác thực (đúng là người gửi) và tính tích hợp (dữ liệu đã không bị thay đổi) nhưng
không đảm bảo được tính chất bí mật (confidentiality) vì nội dung mail đã không được
mã hóa.
1. Mở Outlook Express dùng tài khoản mail POP3 thứ 2 tức của Amanda’. Chọn
Tools, chọn Options. Click vào Security tab. Đánh dấu vào hộp Encrypt contents and
attachments for all outgoing messages. Click Apply và OK.
2. Click vào Create Mail và sẽ thấy xuất hiện biểu tượng ổ khóa lock ở góc trên bên
phải. Điều này có nghĩa là email của bạn sẽ được mã hóa khi gửi. Điền vào địa chỉ email
người nhận là tài khoản POP3 của Mike và click Send.
3. Quay trở lai tài khoản mail POP3 của Mike và mở email mà Amanda vừa gửi. khi bạn
mở email, bạn sẽ nhận được một thông điệp An application is requesting access to a
protected item.
4. Click OK và sau đó chọn Continue để đọc nội dung email đã mã hóa.
5. Bạn có thể click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết hơn về email đã
mã hóa . Amanda đã không xác nhận chữ ký số cho message này nên tại Digital
Signature tất cả các dòng đều xác nhận không sử dụng n/a (not available).
Ứng dụng thứ hai: Dùng PGP để mã hóa files
PGP (Pretty Good Privacy) là phần mềm miễn phí cung cấp khả năng mã hóa PGP trong
gửi nhận email và truyền file hàng đầu hiện nay. Tuy nhiên nếu sử dụng cho mục đích
thương mại, bạn cần mua phiên bản thương mại của PGP bao gồm nhiều tính năng hơn so
với phiên bản miễn phí. Mục đích chính của PGP là mã hóa files nhằm đảm bảo an toàn
khi được truyền qua Internet.
Với PGP Freeware chỉ được sử dụng giới hạn như sau:
• Được sử dụng mang tính chất cá nhân tại nhà, không liên quan đến các hoạt động sinh
lợi nhuận (như tại môi trường của công ty)
• Sinh viên tại các trường, học viên phi lợi nhuận
• Các hội từ thiện, các viện, tổ chức phi lợi nhuận
Có thể download phiên bản miễn phí của PGP tại weblink sau:
Cài đặt PGP
1. Đăng nhập vào Windows XP có tên Pro-1 của bạn với quyền Administrator và
khởi động quy trình cài đặt PGP bằng cách click đúp vào File cài đặt vừa
download. Click Next, đọc các thỏa thuận về License, click Yes. Màn hình Read
Me xuất hiện, click Next sau khi đọc xong phần này. Chọn No, I’m a New User,
vì bạn là người mới sử dụng, chưa từng tạo và sử dụng các khóa của PGP trước
đó (pre-existing keys).
2. Giữ nguyên các giá trị mặc định cho Destination Folder và click Next. Chọn các
thành phần như hình minh họa, click Next. Click Next lần nữa và Finish để khởi
động lại máy.
3. Đăng nhập lại vào máy với tài khoản của Mike (hoặc nếu Mike chính là
Administrator , thì đăng nhập bình thường như lần trước). PGP New User
Configuration Wizard xuất hiện hướng dẫn Mike các thao tác. Click Next để
tiếp tục. Chọn Yes sau đó click Next.
4. Kế tiếp chọn I am a New User. Create new keyring files for me. Click Next,
sau đó Click Finish để hoàn thành.
5. Bạn sẽ thấy xuất hiện hộp thoại PGP License. Nếu đang dùng phiên bản free ,
click Later, ngược lại nếu muốn mua license, click Authorize.
6. PGP Key Generation Wizard sẽ xuất hiện. Click Next tiếp tục. Điền vào họ tên đầy
đủ của bạn, và địa chỉ email, sau đó click Next.
Trong ví dụ này là tên và địa chỉ email của Mike
7. Màn hình kế tiếp nhắc bạn điền vào passphrase, mục đích của passphrase là bảo vệ
việc truy cập vào khóa riêng (private key). Nên sử dụng một passphrase sao cho an toàn
(không dễ dàng có thể đoán hoặc dò ra).
Điền một passphrase và xác nhận (confirm), sau đó click Next. Và chú ý rằng bạn là
Mike , private key được tạo dành cho bạn, và không bao giờ được quên passphrase của
mình.
8. Click Next sau đó, chọn Finish hoàn tất quá trình kích hoạt khóa.
Xuất khóa công khai (Public PGP Key)
Tại sao cần phải xuất (export) khóa công khai PGP. Câu trả lời đơn giản như sau. Mục
tiêu của ví dụ này là làm sao Amanda có thể mã hóa một text file và sau đó gửi nó cho
Mike dưới dạng file đính kèm (attachment) qua email. Để làm được điều này, Amanda
cần phải có khóa công khai (public key) của Mike.
Mike đã cài đặt và kích hoạt khóa PGP, và tiếp theo anh ấy sẽ xuất khóa công khai của
mình, và sau đó chuyển khóa này đến cho Amanda để cô ấy có thể mã hóa nội dung text
file và sau đó gửi trở lại cho Mike dưới dạng file đính kèm. Còn ngược lại trong trường
hợp Mike sẽ gửi các files mã hóa cho Amanda, thì chính Amanda phải xuất các khóa
công khai và chuyển nó cho Mike, để giao dịch an toàn xảy ra.
1. click chuột phải vào PGP lock nằm ở khay hệ thống và click tiếp PGPkeys.
2. Click Keys và sau đó Export. Điền vào tên file và lưu lại vào bất kỳ nơi nào dễ nhớ ví
dụ: ổ C: hoặc đĩa mềm FDD 1.44”. Mike đã lưu file này vào đĩa mềm và chuyển đĩa
mềm này đến cho Amanda.
Và Amanda cũng sẽ làm tương tự.
Và chú ý trong ví dụ thực hành này, các thao tác tiến hành cài đặt và cấu hình PGP trên
máy của Amanda, cũng sẽ tương tự như các thao tác mà các bạn đang thực hiện trên máy
Mike nếu Mike muốn gửi các dữ liệu an toàn qua email cho Amanda, và như vậy Amanda
sẽ dùng PGP kích hoạt khóa cho mình, sau đó xuất khóa công khai, lưu giữ vào đĩa mềm
và chuyển khóa này cho Mike, Mike sẽ dùng khóa này đễ mã hóa dữ liệu , sau đó gửi dữ
liệu cho Amanda
Nhập khóa công khai PGP key
Một khi Amanda đã nhận được khóa công khai từ Miketrên đĩa mềm, co ấy cần nhập
khóa này vào PGP software.
1. Click phải chuột vào PGP lock từ khay hệ thống và click PGPkeys. Click Keys và
chọn Import.
2.Chọn khóa dưới tên file là Mike Bowers đã save vào đĩa mềm và click Open.
3. Select Mike Bowers và click Import. Thoát khỏi PGPkeys window. Và chú ý:
theo hướng ngược lại Mike cũng cần nhập khóa công khai của Amanda gửi cho
mình.
Kiểm tra việc mã hóa file sẽ gửi dùng PGP encryption
1. Tạo một text file trên desktop có tên Confidential. Click phải vào file và chọn
PGP, chọn Encrypt & Sign.
2. Chọn người nhận là Mike Bowers (recipient) và click OK.
3. Điền vào passphrase của Amanda vào và click OK. Mục đích của việc này nhằm
xác nhận File đã được mã hóa để Mike có thể biết chắc chắn Amanda thực sự là
người gửi.
4. Khi File đã được mã hóa dùng PGP, biểu tượng file sẽ thay đổi như hình minh
họa. Và chỉ có những người sau đây có thể mở file này: Amanda (với passphrase
của mình), Mike (với passphrase của anh ấy) và người nào đó đánh cắp được
passphrase của Amanda hoặc Mike.
5. Amanda sau đó sẽ gửi file mã hóa này dưới dạng Attachment đính kèm email cho
Mike.
6. Bấy giờ khi Mike tiến hành nhận mail và lưu file đính kèm trên Desktop.
7. Khi Mike click đúp vào file mã hóa, anh ấy cần đưa chính xác passphrase của
mình vào và click OK. Nếu passphrase đúng, file sẽ được giải mã.
8. Mike đã mở file và xem được nội dung bên trong
PGP – Wipe (tính năng xóa File vĩnh viễn của PGP)
Khi một File đã được hệ thống delete thường vẫn còn tồn tại trên đĩa cứng của bạn và có
thể dễ dàng được phục hồi chỉ với một phần mềm phục hồi dữ liệu và chút ít kỹ năng.
Điều này khá nguy hiểm, vì những dữ liệu này có thể bị khai thác. Thông tin đã bị xóa
vẫn hiện diện trên đĩa cứng và thường chỉ mất đi nếu bị các thông tin mới ghi đè lên
(overwritten) , ngay cả trong trường hợp này, với một số siêu công cụ phục hồi dữ liệu
vẫn có thể phục hồi. Và PGP đã cung cấp cho chúng ta một tính năng, xóa dữ liệu vĩnh
viễn là PGP’s Wipe , thông tin đã xác định xóa với PGP wipe, mãi mãi sẽ không có cơ
hội phục hồi. Sử dụng phương pháp ghi đè lên thông tin bị xóa một số các thông tin ngẫu
nhiên vào những thời điểm đã xác định.
1. Mike sẽ kiểm tra tính năng này trên computer của mình. Right click trên Confidential
file và chọn PGP, chọn Wipe.
2. Chọn file được liệt kê và click Yes. File sẽ bị xóa vĩnh viễn.
Để có những kiến thức cơ bản về mã hóa và các thuật toán mã hóa phổ biến
Các bạn có thể Tham khảo thêm về Mã hóa và các quy tắc mã hóa tại:
www.Nis.com.vn/securityarticles/encryptions.pdf
Các file đính kèm theo tài liệu này:
- thuc_hanh_giao_dich_dtu_.PDF