Chữ kí điện tử và ứng dụng của chữ kí điện tử

Hàm trên có thể tính dễ dàng sử dụng phương pháp tính hàm mũ (theo môđun) bằng (thuật toán bình phương và nhân) Cuối cùng Bob gửi c cho Alice. Giải mã Alice nhận c từ Bob và biết khóa bí mật d. Alice có thể tìm được m từ c theo công thức sau: Biết m, Alice tìm lại M theo phương pháp đã thỏa thuận trước. Quá trình giải mã hoạt động vì ta có . Do ed ≡ 1 (mod p-1) và ed ≡ 1 (mod q-1), (theo Định lý Fermat nhỏ) nên: và Do p và q là hai số nguyên tố cùng nhau, áp dụng định lý số dư Trung Quốc, ta có: . hay: . Ví dụ Sau đây là một ví dụ với những số cụ thể. Ở đây chúng ta sử dụng những số nhỏ để tiện tính toán còn trong thực tế phải dùng các số có giá trị đủ lớn. Lấy: p = 61 — số nguyên tố thứ nhất (giữ bí mật hoặc hủy sau khi tạo khóa) q = 53 — số nguyên tố thứ hai (giữ bí mật hoặc hủy sau khi tạo khóa) n = pq = 3233 — môđun (công bố công khai) e = 17 — số mũ công khai d = 2753 — số mũ bí mật Khóa công khai là cặp (e, n). Khóa bí mật là d. Hàm mã hóa là: encrypt(m) = me mod n = m17 mod 3233 với m là văn bản rõ. Hàm giải mã là: decrypt(c) = cd mod n = c2753 mod 3233 với c là văn bản mã. Để mã hóa văn bản có giá trị 123, ta thực hiện phép tính: encrypt(123) = 12317 mod 3233 = 855 Để giải mã văn bản có giá trị 855, ta thực hiện phép tính: decrypt(855) = 8552753 mod 3233 = 123 Cả hai phép tính trên đều có thể được thực hiện hiệu quả nhờ giải thuật bình phương và nhân. Chuyển đổi văn bản rõ Trước khi thực hiện mã hóa, ta phải thực hiện việc chuyển đổi văn bản rõ (chuyển đổi từ M sang m) sao cho không có giá trị nào của M tạo ra văn bản mã không an toàn. Nếu không có quá trình này, RSA sẽ gặp phải một số vấn đề sau: Nếu m = 0 hoặc m = 1 sẽ tạo ra các bản mã có giá trị là 0 và 1 tương ứng Khi mã hóa với số mũ nhỏ (chẳng hạn e = 3) và m cũng có giá trị nhỏ, giá trị me cũng nhận giá trị nhỏ (so với n). Như vậy phép môđun không có tác dụng và có thể dễ dàng tìm được m bằng cách khai căn bậc e của c (bỏ qua môđun). RSA là phương pháp mã hóa xác định (không có thành phần ngẫu nhiên) nên kẻ tấn công có thể thực hiện tấn công lựa chọn bản rõ bằng cách tạo ra một bảng tra giữa bản rõ và bản mã. Khi gặp một bản mã, kẻ tấn công sử dụng bảng tra để tìm ra bản rõ tương ứng. Trên thực tế, ta thường gặp 2 vấn đề đầu khi gửi các bản tin ASCII ngắn với m là nhóm vài ký tự ASCII. Một đoạn tin chỉ có 1 ký tự NUL sẽ được gán giá trị m = 0 và cho ra bản mã là 0 bất kể giá trị của e và N. Tương tự, một ký tự ASCII khác, SOH, có giá trị 1 sẽ luôn cho ra bản mã là 1. Với các hệ thống dùng giá trị e nhỏ thì tất cả ký tự ASCII đều cho kết quả mã hóa không an toàn vì giá trị lớn nhất của m chỉ là 255 và 2553 nhỏ hơn giá trị n chấp nhận được. Những bản mã này sẽ dễ dàng bị phá mã. Để tránh gặp phải những vấn đề trên, RSA trên thực tế thường bao gồm một hình thức chuyển đổi ngẫu nhiên hóa m trước khi mã hóa. Quá trình chuyển đổi này phải đảm bảo rằng m không rơi vào các giá trị không an toàn. Sau khi chuyển đổi, mỗi bản rõ khi mã hóa sẽ cho ra một trong số khả năng trong tập hợp bản mã. Điều này làm giảm tính khả thi của phương pháp tấn công lựa chọn bản rõ (một bản rõ sẽ có thể tương ứng với nhiều bản mã tuỳ thuộc vào cách chuyển đổi). Một số tiêu chuẩn, chẳng hạn như PKCS, đã được thiết kế để chuyển đổi bản rõ trước khi mã hóa bằng RSA. Các phương pháp chuyển đổi này bổ sung thêm bít vào M. Các phương pháp chuyển đổi cần được thiết kế cẩn thận để tránh những dạng tấn công phức tạp tận dụng khả năng biết trước được cấu trúc của bản rõ. Phiên bản ban đầu của PKCS dùng một phương pháp đặc ứng (ad-hoc) mà về sau được biết là không an toàn trước tấn công lựa chọn bản rõ thích ứng (adaptive chosen ciphertext attack). Các phương pháp chuyển đổi hiện đại sử dụng các kỹ thuật như chuyển đổi mã hóa bất đối xứng tối ưu (Optimal Asymmetric Encryption Padding - OAEP) để chống lại tấn công dạng này. Tiêu chuẩn PKCS còn được bổ sung các tính năng khác để đảm bảo an toàn cho chữ ký RSA (Probabilistic Signature Scheme for RSA – RSA - PSS). Tạo chữ ký số cho văn bản Thuật toán RSA còn được dùng để tạo chữ ký số cho văn bản. Giả sử Alice muốn gửi cho Bob một văn bản có chữ ký của mình. Để làm việc này, Alice tạo ra một giá trị băm (hash value) của văn bản cần ký và tính giá trị mũ d mod n của nó (giống như khi Alice thực hiện giải mã). Giá trị cuối cùng chính là chữ ký điện tử của văn bản đang xét. Khi Bob nhận được văn bản cùng với chữ ký điện tử, anh ta tính giá trị mũ e mod n của chữ ký đồng thời với việc tính giá trị băm của văn bản. Nếu 2 giá trị này như nhau thì Bob biết rằng người tạo ra chữ ký biết khóa bí mật của Alice và văn bản đã không bị thay đổi sau khi ký. Cần chú ý rằng các phương pháp chuyển đổi bản rõ (như RSA - PSS) giữ vai trò quan trọng đối với quá trình mã hóa cũng như chữ ký điện tử và không được dùng khóa chung cho đồng thời cho cả hai mục đích trên. An ninh Độ an toàn của hệ thống RSA dựa trên 2 vấn đề của toán học: bài toán phân tích ra thừa số nguyên tố các số nguyên tố lớn và bài toán RSA. Nếu 2 bài toán trên là khó (không tìm được thuật toán hiệu quả để giải chúng) thì không thể thực hiện được việc phá mã toàn bộ đối với RSA. Phá mã một phần phải được ngăn chặn bằng các phương pháp chuyển đổi bản rõ an toàn. Bài toán RSA là bài toán tính căn bậc e môđun n (với n là hợp số): tìm số m sao cho me=c mod n, trong đó (e, n) chính là khóa công khai và c là bản mã. Hiện nay phương pháp triển vọng nhất giải bài toán này là phân tích n ra thừa số nguyên tố. Khi thực hiện được điều này, kẻ tấn công sẽ tìm ra số mũ bí mật d từ khóa công khai và có thể giải mã theo đúng quy trình của thuật toán. Nếu kẻ tấn công tìm được 2 số nguyên tố p và q sao cho: n = pq thì có thể dễ dàng tìm được giá trị (p-1)(q-1) và qua đó xác định d từ e. Chưa có một phương pháp nào được tìm ra trên máy tính để giải bài toán này trong thời gian đa thức (polynomial-time). Tuy nhiên người ta cũng chưa chứng minh được điều ngược lại (sự không tồn tại của thuật toán). Xem thêm phân tích ra thừa số nguyên tố về vấn đề này. Tại thời điểm năm 2005, số lớn nhất có thể được phân tích ra thừa số nguyên tố có độ dài 663 bít với phương pháp phân tán trong khi khóa của RSA có độ dài từ 1024 tới 2048 bít. Một số chuyên gia cho rằng khóa 1024 bít có thể sớm bị phá vỡ (cũng có nhiều người phản đối việc này). Với khóa 4096 bít thì hầu như không có khả năng bị phá vỡ trong tương lai gần. Do đó, người ta thường cho rằng RSA đảm bảo an toàn với điều kiện n được chọn đủ lớn. Nếu n có độ dài 256 bít hoặc ngắn hơn, nó có thể bị phân tích trong vài giờ với máy tính cá nhân dùng các phần mềm có sẵn. Nếu n có độ dài 512 bít, nó có thể bị phân tích bởi vài trăm máy tính tại thời điểm năm 1999. Một thiết bị lý thuyết có tên là TWIRL do Shamir và Tromer mô tả năm 2003 đã đặt ra câu hỏi về độ an toàn của khóa 1024 bít. Vì vậy hiện nay người ta khuyến cáo sử dụng khóa có độ dài tối thiểu 2048 bít. Năm 1993, Peter Shor công bố thuật toán Shor chỉ ra rằng: máy tính lượng tử (trên lý thuyết) có thể giải bài toán phân tích ra thừa số trong thời gian đa thức. Tuy nhiên, máy tính lượng tử vẫn chưa thể phát triển được tới mức độ này trong nhiều năm nữa. Các vấn đề đặt ra trong thực tế Quá trình tạo khóa Việc tìm ra 2 số nguyên tố đủ lớn p và q thường được thực hiện bằng cách thử xác suất các số ngẫu nhiên có độ lớn phù hợp (dùng phép kiểm tra nguyên tố cho phép loại bỏ hầu hết các hợp số). p và q còn cần được chọn không quá gần nhau để phòng trường hợp phân tích n bằng phương pháp phân tích Fermat. Ngoài ra, nếu p-1 hoặc q-1 có thừa số nguyên tố nhỏ thì n cũng có thể dễ dàng bị phân tích và vì thế p và q cũng cần được thử để tránh khả năng này. Bên cạnh đó, cần tránh sử dụng các phương pháp tìm số ngẫu nhiên mà kẻ tấn công có thể lợi dụng để biết thêm thông tin về việc lựa chọn (cần dùng các bộ tạo số ngẫu nhiên tốt). Yêu cầu ở đây là các số được lựa chọn cần đồng thời ngẫu nhiên và không dự đoán được. Đây là các yêu cầu khác nhau: một số có thể được lựa chọn ngẫu nhiên (không có kiểu mẫu trong kết quả) nhưng nếu có thể dự đoán được dù chỉ một phần thì an ninh của thuật toán cũng không được đảm bảo. Một ví dụ là bảng các số ngẫu nhiên do tập đoàn Rand xuất bản vào những năm 1950 có thể rất thực sự ngẫu nhiên nhưng kẻ tấn công cũng có bảng này. Nếu kẻ tấn công đoán được một nửa chữ số của p hay q thì chúng có thể dễ dàng tìm ra nửa còn lại (theo nghiên cứu của Donal Coppersmith vào năm 1997) Một điểm nữa cần nhấn mạnh là khóa bí mật d phải đủ lớn. Năm 1990, Wiener chỉ ra rằng nếu giá trị của p nằm trong khoảng q và 2q (khá phổ biến) và d < n1/4/3 thì có thể tìm ra được d từ n và e. Mặc dù e đã từng có giá trị là 3 nhưng hiện nay các số mũ nhỏ không còn được sử dụng do có thể tạo nên những lỗ hổng (đã đề cập ở phần chuyển đổi văn bản rõ). Giá trị thường dùng hiện nay là 65537 vì được xem là đủ lớn và cũng không quá lớn ảnh hưởng tới việc thực hiện hàm mũ. Tốc độ RSA có tốc độ thực hiện chậm hơn đáng kể so với DES và các thuật toán mã hóa đối xứng khác. Trên thực tế, Bob sử dụng một thuật toán mã hóa đối xứng nào đó để mã hóa văn bản cần gửi và chỉ sử dụng RSA để mã hóa khóa để giải mã (thông thường khóa ngắn hơn nhiều so với văn bản). Phương thức này cũng tạo ra những vấn đề an ninh mới. Một ví dụ là cần phải tạo ra khóa đối xứng thật sự ngẫu nhiên. Nếu không, kẻ tấn công (thường ký hiệu là Eve) sẽ bỏ qua RSA và tập trung vào việc đoán khóa đối xứng. Phân phối khóa Cũng giống như các thuật toán mã hóa khác, cách thức phân phối khóa công khai là một trong những yếu tố quyết định đối với độ an toàn của RSA. Quá trình phân phối khóa cần chống lại được tấn công đứng giữa (man-in-the-middle attack). Giả sử Eve có thể gửi cho Bob một khóa bất kỳ và khiến Bob tin rằng đó là khóa (công khai) của Alice. Đồng thời Eve có khả năng đọc được thông tin trao đổi giữa Bob và Alice. Khi đó, Eve sẽ gửi cho Bob khóa công khai của chính mình (mà Bob nghĩ rằng đó là khóa của Alice). Sau đó, Eve đọc tất cả văn bản mã hóa do Bob gửi, giải mã với khóa bí mật của mình, giữ 1 bản copy đồng thời mã hóa bằng khóa công khai của Alice và gửi cho Alice. Về nguyên tắc, cả Bob và Alice đều không phát hiện ra sự can thiệp của người thứ ba. Các phương pháp chống lại dạng tấn công này thường dựa trên các chứng thực khóa công khai (digital certificate) hoặc các thành phần của hạ tầng khóa công khai (public key infrastructure - PKI). Tấn công dựa trên thời gian Vào năm 1995, Paul Kocher mô tả một dạng tấn công mới lên RSA: nếu kẻ tấn công nắm đủ thông tin về phần cứng thực hiện mã hóa và xác định được thời gian giải mã đối với một số bản mã lựa chọn thì có thể nhanh chóng tìm ra khóa d. Dạng tấn công này có thể áp dụng đối với hệ thống chữ ký điện tử sử dụng RSA. Năm 2003, Dan Boneh và David Brumley chứng minh một dạng tấn công thực tế hơn: phân tích thừa số RSA dùng mạng máy tính (Máy chủ web dùng SSL). Tấn công đã khai thác thông tin rò rỉ của việc tối ưu hóa định lý số dư Trung Quốc mà nhiều ứng dụng đã thực hiện. Để chống lại tấn công dựa trên thời gian là đảm bảo quá trình giải mã luôn diễn ra trong thời gian không đổi bất kể văn bản mã. Tuy nhiên, cách này có thể làm giảm hiệu suất tính toán. Thay vào đó, hầu hết các ứng dụng RSA sử dụng một kỹ thuật gọi là che mắt. Kỹ thuật này dựa trên tính nhân của RSA: thay vì tính cd mod n, Alice đầu tiên chọn một số ngẫu nhiên r và tính (rec)d mod n. Kết quả của phép tính này là rm mod n và tác động của r sẽ được loại bỏ bằng cách nhân kết quả với nghịch đảo của r. Đỗi với mỗi văn bản mã, người ta chọn một giá trị của r. Vì vậy, thời gian giải mã sẽ không còn phụ thuộc vào giá trị của văn bản mã. Tấn công lựa chọn thích nghi bản mã Năm 1981, Daniel Bleichenbacher mô tả dạng tấn công lựa chọn thích nghi bản mã (adaptive chosen ciphertext attack) đầu tiên có thể thực hiện trên thực tế đối với một văn bản mã hóa bằng RSA. Văn bản này được mã hóa dựa trên tiêu chuẩn PKCS #1 v1, một tiêu chuẩn chuyển đổi bản rõ có khả năng kiểm tra tính hợp lệ của văn bản sau khi giải mã. Do những khiếm khuyết của PKCS #1, Bleichenbacher có thể thực hiện một tấn công lên bản RSA dùng cho giao thức SSL (tìm được khóa phiên). Do phát hiện này, các mô hình chuyển đổi an toàn hơn như chuyển đổi mã hóa bất đối xứng tối ưu (Optimal Asymmetric Encryption Padding) được khuyến cáo sử dụng. Đồng thời phòng nghiên cứu của RSA cũng đưa ra phiên bản mới của PKCS #1 có khả năng chống lại dạng tấn công nói trên. 3. Mã hóa sử dụng SHA SHA (Secure Hash Algorithm hay thuật giải băm an toàn) là năm thuật giải được chấp nhận bởi FIPS dùng để chuyển một đoạn dữ liệu nhất định thành một đoạn dữ liệu có chiều dài không đổi với xác suất khác biệt cao. Những thuật giải này được gọi là "an toàn" bởi vì, theo nguyên văn của chuẩn FIPS 180-2 phát hành ngày 1 tháng 8 năm 2002: "for a given algorithm, it is computationally infeasible 1) to find a message that corresponds to a given message digest, or 2) to find two different messages that produce the same message digest. Any change to a message will, with a very high probability, result in a different message digest." Tạm dịch đại ý là: "1) Cho một giá trị băm nhất định được tạo nên bởi một trong những thuật giải SHA, việc tìm lại được đoạn dữ liệu gốc là không khả thi. 2) Việc tìm được hai đoạn dữ liệu nhất định có cùng kết quả băm tạo ra bởi một trong những thuật giải SHA là không khả thi. Bất cứ thay đổi nào trên đoạn dữ liệu gốc, dù nhỏ, cũng sẽ tạo nên một giá trị băm hoàn toàn khác với xác suất rất cao." Năm thuật giải SHA là SHA-1 (trả lại kết quả dài 160 bit), SHA-224 (trả lại kết quả dài 224 bit), SHA-256 (trả lại kết quả dài 256 bit), SHA-384 (trả lại kết quả dài 384 bit), và SHA-512 (trả lại kết quả dài 512 bit). Thuật giải SHA là thuật giải băm mật được phát triển bởi cục an ninh quốc gia Mĩ (National Security Agency hay NSA) và được xuất bản thành chuẩn của chính phủ Mĩ bởi viện công nghệ và chuẩn quốc gia Mĩ (National Institute of Standards and Technology hay NIST). Bốn thuật giải sau thường được gọi chung là SHA-2. SHA-1 được sử dụng rộng rãi trong nhiều ứng dụng và giao thức an ninh khác nhau, bao gồm TLS và SSL, PGP, SSH, S/MIME, và IPSec. SHA-1 được coi là thuật giải thay thế MD5, một thuật giải băm 128 bit phổ biến khác. Hiện nay, SHA-1 không còn được coi là an toàn bởi đầu năm 2005, ba nhà mật mã học người Trung Quốc đã phát triển thành công một thuật giải dùng để tìm được hai đoạn dữ liệu nhất định có cùng kết quả băm tạo ra bởi SHA-1. Mặc dù chưa có ai làm được điều tương tự với SHA-2, nhưng vì về thuật giải, SHA-2 không khác biệt mấy so với SHA-1 nên nhiều nhà khoa học đã bắt đầu phát triển một thuật giải khác tốt hơn SHA. NIST cũng đã khởi đầu một cuộc thi phát triển thuật giải băm mới an toàn hơn SHA, giống như quy trình phát triển chuẩn mã hóa tiên tiến (Advanced Encryption Standard hay AES). SHA-2 SHA-2 bao gồm bốn giải thuật SHA-224, SHA-256, SHA-384 và SHA-512. Ba thuật giải SHA-256, SHA-384 và SHA-512 được xuất bản lần đầu năm 2001 trong bản phác thảo FIPS PUB 180-2. Năm 2002, FIPS PUB 180-2, bao gồm cả SHA-1 được chấp nhận thành chuẩn chính thức. Năm 2004, FIPS PUB 180-2 được bổ sung thêm một biến thể - SHA-224, với mục đích tạo ra một biến thể SHA-2 có độ dài khóa trùng với DES ba lần với 2 khóa (2TDES) - 112 bit. Những biến thể SHA-2 này được đăng ký Bằng sáng chế Hoa Kỳ số 6.829.355 . Về giải thuật, các biến thể của SHA-2 không khác nhau. Mặc dù chúng sử dụng giá trị biến và hằng số cũng như độ dài từ, v.v. khác nhau. Mặc dù Gilbert và Handschuh (2003) đã nghiên cứu và không tìm ra điểm yếu của những biến thể này, chúng vẫn chưa được kiểm chứng kĩ như SHA-1. Mã giả của thuật giải SHA-256: Chú ý: Tất cả các biến đều là 32 bit không dấu quay vòng modulo 232 khi tính Khởi tạo biến (32 bit đầu tiên của phần phân số của căn bậc 2 của 8 số nguyên tố đầu tiên 2..19): h0 := 0x6a09e667 h1 := 0xbb67ae85 h2 := 0x3c6ef372 h3 := 0xa54ff53a h4 := 0x510e527f h5 := 0x9b05688c h6 := 0x1f83d9ab h7 := 0x5be0cd19 Khởi tạo hằng số (32 bit đầu tiên của phần phân số của căn bậc 3 của 64 số nguyên tố đầu tiên 2..311): k[0..63] := 0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5, 0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174, 0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da, 0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967, 0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85, 0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070, 0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3, 0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2 Tiền xử lý: Thêm bit '1' vào cuối đoạn dữ liệu gốc Thêm k bit '0', trong đó k là số nhỏ nhất >= 0 sao cho chiều dài của đoạn dữ liệu gốc (tính bằng bit) đồng dư với 448 (mod 512) Thêm độ dài của đoạn dữ liệu gốc (trước giai đoạn tiền xử lý), tính băng bits thể hiện bằng một số 64 bit big endian vào cuối đoạn dữ liệu Xử lý đoạn dữ liệu từng 512 bit một: Tách đoạn dữ liệu ra thành tứng nhóm 512 bit Với mỗi nhóm Tách nhóm ra thành 16 nhóm 32 bit big endian w[0..15] Mở rộng 16 nhóm này thành 64 nhóm 32 bit: for i từ 16 đến 63 s0 := (w[i-15] quay vòng phải 7) xor (w[i-15] quay vòng phải 18) xor (w[i-15] dịch phải 3) s1 := (w[i-2] quay vòng phải 17) xor (w[i-2] quay vòng phải 19) xor (w[i-2] dịch phải 10) w[i] := w[i-16] + s0 + w[i-7] + s1 Khởi tạo giá trị băm cho nhóm này: a := h0 b := h1 c := h2 d := h3 e := h4 f := h5 g := h6 h := h7 Vòng lặp chính: for i từ 0 đến 63 s0 := (a xoay vòng phải 2) xor (a xoay vòng phải 13) xor (a xoay vòng phải 22) maj := (a and b) xor (a and c) xor (b and c) t2 := s0 + maj s1 := (e xoay vòng phải 6) xor (e xoay vòng phải 11) xor (e xoay vòng phải 25) ch := (e and f) xor ((not e) and g) t1 := h + s1 + ch + k[i] + w[i] h := g g := f f := e e := d + t1 d := c c := b b := a a := t1 + t2 Cộng giá trị băm vừa tính vào kết quả: h0 := h0 + a h1 := h1 + b h2 := h2 + c h3 := h3 + d h4 := h4 + e h5 := h5 + f h6 := h6 + g h7 := h7 + h Tạo kết quả cuối cùng (big endian): digest = hash = h0 nối với h1 nối với h2 nối với h3 nối với h4 nối với h5 nối với h6 nối với h7 Mã nguồn SHA-256 bằng PHP, tương thích với UTF-8: <?php /* * Copyright (C) 2006 Hieu Tran Dang (lt2hieu2004) * * This program is free software; you can redistribute it and/or modify it * under the terms of the GNU General Public License as published by the * Free Software Foundation; either version 2 of the License, or (at your option) * any later version. * * This program is distributed in the hope that it will be useful, but WITHOUT * ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS * FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details. * * You should have received a copy of the GNU General Public License along with * this program; if not, write to the Free Software Foundation, Inc., 59 Temple * Place, Suite 330, Boston, MA 02111-1307 USA */ class Hash { function sha256($msg) { $msg = Hash::utf8Encode($msg); $msg .= chr(128); $l = ceil(strlen($msg) / 4) + 2; $N = ceil($l / 16); $M = array(); for ($i = 0; $i < $N; $i++) { $M[] = array(); for ($j = 0; $j < 16; $j ++) { $M[$i][] = (ord(substr($msg, $i * 64 + $j * 4, 1)) << 24) | (ord(substr($msg, $i * 64 + $j * 4 + 1, 1)) << 16) | (ord(substr($msg, $i * 64 + $j * 4 + 2, 1)) << 8) | (ord(substr($msg, $i * 64 + $j * 4 + 3, 1))); } } $M[$N-1][14] = Hash::SHR((strlen($msg) - 1) * 8, 32); $M[$N-1][15] = ((strlen($msg) - 1) * 8) & 0xffffffff; $H = array( 0x6a09e667, 0xbb67ae85, 0x3c6ef372, 0xa54ff53a, 0x510e527f, 0x9b05688c, 0x1f83d9ab, 0x5be0cd19 ); $K = array( 0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5, 0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174, 0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da, 0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967, 0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85, 0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070, 0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3, 0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2 ); $W = array(); for ($i = 0; $i < $N; $i++) { for ($t = 0; $t < 16; $t++) $W[$t] = $M[$i][$t]; for ($t = 16; $t < 64; $t++) $W[$t] = Hash::sum(Hash::gamma1($W[$t - 2]), $W[$t - 7], Hash::gamma0($W[$t - 15]), $W[$t - 16]); $a = $H[0]; $b = $H[1]; $c = $H[2]; $d = $H[3]; $e = $H[4]; $f = $H[5]; $g = $H[6]; $h = $H[7]; for ($t = 0; $t < 64; $t++) { $T1 = Hash::sum($h, Hash::sigma1($e), Hash::Ch($e, $f, $g), $K[$t], $W[$t]); $T2 = Hash::sum(Hash::sigma0($a), Hash::Maj($a, $b, $c)); $h = $g; $g = $f; $f = $e; $e = Hash::sum($d, $T1); $d = $c; $c = $b; $b = $a; $a = Hash::sum($T1, $T2); } $H[0] = Hash::sum($a, $H[0]); $H[1] = Hash::sum($b, $H[1]); $H[2] = Hash::sum($c, $H[2]); $H[3] = Hash::sum($d, $H[3]); $H[4] = Hash::sum($e, $H[4]); $H[5] = Hash::sum($f, $H[5]); $H[6] = Hash::sum($g, $H[6]); $H[7] = Hash::sum($h, $H[7]); } $hash = ""; for ($i = 0; $i < 8; $i++) { $H[$i] = dechex($H[$i]); while (strlen($H[$i]) < 8) $H[$i] = '0'.$H[$i]; $hash .= $H[$i] } return $hash; } function gamma0($x) { return (Hash::ROTR($x, 7) ^ Hash::ROTR($x, 18) ^ (Hash::SHR($x, 3))); } function gamma1($x) { return (Hash::ROTR($x, 17) ^ Hash::ROTR($x, 19) ^ (Hash::SHR($x, 10))); } function sigma0($x) { return (Hash::ROTR($x, 2) ^ Hash::ROTR($x, 13) ^ Hash::ROTR($x, 22)); } function sigma1($x) { return (Hash::ROTR($x, 6) ^ Hash::ROTR($x, 11) ^ Hash::ROTR($x, 25)); } function Ch($x, $y, $z) { return (($x & $y) ^ (~$x & $z)); } function Maj($x, $y, $z) { return (($x & $y) ^ ($x & $z) ^ ($y & $z)); } function ROTR($x, $n) { return (Hash::SHR($x, $n) | ($x << (32 - $n))); } function SHR($a, $b) { return ($a >> $b) & (pow(2, 32 - $b) - 1); } // Hàm được viết bởi Fyed function sum() { $T = 0; for($x = 0, $y = func_num_args(); $x < $y; $x++) { $a = func_get_arg($x); $c = 0; for($i = 0; $i < 32; $i++) { $j = (($T >> $i) & 1) + (($a >> $i) & 1) + $c; $c = ($j >> 1) & 1; $j &= 1; $T &= ~(1 << $i); $T |= $j << $i; } } return $T; } // Dựa trên đoạn code viết bởi Angel Martin & Paul Johnston function utf8Encode($msg) { $utfText = ""; for ($n = 0; $n < strlen($msg); $n++) { $c = ord(substr($msg, $n, 1)); if ($c < 128) { $utfText .= chr($c); } else if (($c > 127) && ($c < 2048)) { $utfText .= chr(($c >> 6) | 192); $utfText .= chr(($c & 63) | 128); } else { $utfText .= chr(($c >> 12) | 224); $utfText .= chr((($c >> 6) & 63) | 128); $utfText .= chr(($c & 63) | 128); } } return $utfText; } } ?> Ví dụ Dưới đây là một số ví dụ sử dụng thuật giải SHA. Đoạn dữ liệu gốc được ngầm hiểu sử dụng bảng mã ASCII. SHA-1 SHA1("The quick brown fox jumps over the lazy dog") = 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12 Ngay cả một thay đổi nhỏ trong đoạn dữ liệu gốc sẽ có khả năng rất lớn tạo nên một giá trị băm hoàn toàn khác do hiệu ứng tuyết lở. Ví dụ, sửa d thành c: SHA1("The quick brown fox jumps over the lazy cog") = de9f2c7f d25e1b3a fad3e85a 0bd17d9b 100db4b3 Giá trị băm của một đoạn dữ liệu rỗng: SHA1("") = da39a3ee 5e6b4b0d 3255bfef 95601890 afd80709 ] SHA-256 SHA256("The quick brown fox jumps over the lazy dog") = d7a8fbb3 07d78094 69ca9abc b0082e4f 8d5651e4 6d3cdb76 2d02d0bf 37c9e592 Hiệu ứng tuyết lở khi sửa từ cuối cùng thành "cog": SHA256("The quick brown fox jumps over the lazy cog") = e4c4d8f3 bf76b692 de791a17 3e053211 50f7a345 b46484fe 427f6acc 7ecc81be Giá trị băm của đoạn dữ liệu rỗng: SHA256("") = e3b0c442 98fc1c14 9afbf4c8 996fb924 27ae41e4 649b934c a495991b 7852b855 SHA-512 SHA512("The quick brown fox jumps over the lazy dog") = 07e547d9 586f6a73 f73fbac0 435ed769 51218fb7 d0c8d788 a309d785 436bbb64 2e93a252 a954f239 12547d1e 8a3b5ed6 e1bfd709 7821233f a0538f3d b854fee6 Hiệu ứng tuyết lở khi sửa từ cuối cùng thành "cog": SHA512("The quick brown fox jumps over the lazy cog") = 3eeee1d0 e11733ef 152a6c29 503b3ae2 0c4f1f3c da4cb26f 1bc1a41f 91c7fe4a b3bd8649 4049e201 c4bd5155 f31ecb7a 3c860684 3c4cc8df cab7da11 c8ae5045 Giá trị băm của đoạn dữ liệu rỗng: SHA512("") = cf83e135 7eefb8bd f1542850 d66d8007 d620e405 0b5715dc 83f4a921 d36ce9ce 47d0d13c 5d85f2b0 ff8318d2 877eec2f 63b931bd 47417a81 a538327a f927da3e 4. Mã hóa sử dụng DSA Giải thuật ký số (Digital Signature Algorithm, viết tắt DSA) là chuẩn của chính phủ Mỹ hoặc FIPS cho các chữ ký số. Giải thuật này được đề nghị bởi Viện các tiêu chuẩn và công nghệ quốc gia (NIST) vào tháng 8/1991 để sử dụng trong chuẩn chữ ký số (DSS), được chỉ ra trong FIPS 186 , được chấp nhận năm 1993. Một sửa đổi nhỏ được đưa ra năm 1996 trong FIPS 186-1 , chuẩn được mở rộng hơn năm 2000, được xem như FIPS 186-2 . Tạo khoá Chọn số nguyên tố 160 bit q. Chọn 1 số nguyên tố L bit p, sao cho p=qz+1 với số nguyên z nào đó, 512 ≤ L ≤ 1024, L chia hết cho 64. Chú ý: Trong FIPS-186-2, giả sử L luôn bằng 1024. Chọn h, với 1 1. (z = (p-1) / q.) Chọn x ngẫu nhiên, thoả mãn 0 < x < q. Tính giá trị y = gx mod p. Khoá công là (p, q, g, y). Khoá riêng là x. Chú ý (p, q, g) có thể dùng chung bởi nhiều người dùng trong hệ thống, nếu muốn. FIPS 186-3 sử dụng SHA-224/256/384/512 như hàm băm, q với kích thước 224, 256, 384, và 512 bit, L nhận giá trị 2048, 3072, 7680, và 15360 tương ứng. Có các giải thuật hiệu quả để tính toán các biểu thức mũ và lấy phần dư khi chia cho số nguyên tố lớn hz mod p và gx mod p. Hầu hết các số h đều thoả mãn yêu cầu, vì vậy giá trị 2 thông thường được sử dụng. Ký Tạo 1 số ngẫu nhiên với mỗi thông điệp, giá trị k thỏa mãn 0 < k < q Tính r = (gk mod p) mod q Tính s = (k-1(SHA-1(m) + x*r)) mod q, ở đây SHA-1(m) là hàm băm mã hóa SHA-1 áp dụng cho thông điệp m Tính toán lại chữ ký trong trường hợp không chắc chắn khi r=0 hoặc s=0 Chữ ký là (r,s) Giải thuật Euclid mở rộng có thể được sử dụng để tính toán biểu thức k-1 mod q. Xác nhận Loại bỏ chữ ký nếu hoặc 0< r <q hoặc 0< s <q không thỏa mãn. Tính w = (s)-1 mod q Tính u1 = (SHA-1(m)*w) mod q Tính u2 = (r*w) mod q Tính v = ((gu1*yu2) mod p) mod q Chữ ký là có hiệu lực nếu v = r DSA tương tự với Lược đồ ký số ElGamal. Sự đúng đắn của giải thuật Lược đồ ký số là đúng đắn có ý nghĩa khi người xác nhận luôn chấp nhận các chữ ký thật. Điều này có thể được chỉ ra như sau: Từ g = hz mod p suy ra gq ≡ hqz ≡ hp-1 ≡ 1 (mod p) bởi định lý Fermat nhỏ. Bởi vì g>1 và q là số nguyên tố suy ra g có bậc q. Người ký tính Như vậy Bởi vì g có bậc q chúng ta có Cuối cùng, tính đúng đắn của DSA suy ra từ III. Một số vấn đề khác trong thương mại điện tử và chữ kí điện tử 1. Chức thực hóa công khai Trong mật mã học, chứng thực khóa công khai (còn gọi là chứng thực số / chứng thực điện tử) là một chứng thực sử dụng chữ ký số để gắn một khóa công khai với một thực thể (cá nhân, máy chủ hoặc công ty...). Một chứng thực khóa công khai tiêu biểu thường bao gồm khóa công khai và các thông tin (tên, địa chỉ...) về thực thể sở hữu khóa đó. Chứng thực điện tử có thể được sử dụng để kiểm tra một khóa công khai nào đó thuộc về ai. Trong một mô hình hạ tầng hóa công khai (PKI) tiêu biểu, chữ ký trong chứng thực thuộc về nhà cung cấp chứngt thực số (certificate authority, viết tắt là CA). Trong mô hình mạng lưới tín nhiệm (web of trust), thì chữ ký có thể là của chính thực thể đó hoặc của một thực thể khác. Trong bất kỳ trường hợp nào thì chữ ký trong chứng thực là sự đảm bảo của người ký về mối liên hệ giữa khóa công khai và thực thể được chứng nhận. Sử dụng Việc sử dụng chứng thực sẽ tạo điều kiện áp dụng rộng rãi mật mã hóa khóa công khai. Đối với hệ thống mã hóa khóa bí mật, việc trao đổi khóa giữa những người sử dụng trên quy mô lớn là không thể thực hiện được. Hệ thống mã hóa khóa công khai có thể tránh được vấn đề này. Trên nguyên tắc nếu Alice và Bob muốn người khác gửi thông tin mật cho mình thì chỉ cần công bố khóa công khai của chính mình. Bất kỳ ai có được khóa này đều có thể gửi thông tin mật cho họ. Tuy nhiên, bất kỳ người nào (David) cũng có khả năng đưa ra một khóa công khai khác và giả mạo rằng đó là khóa của Alice. Bằng cách làm như vậy kẻ tấn công có thể đọc được một số thông tin gửi cho Alice. Nếu Alice đưa khóa công khai của mình vào một chứng thực và chứng thực này được một bên thứ 3 (Trent) xác nhận bằng chữ ký điện tử thì bất kỳ ai tin tưởng vào Trent sẽ có thể kiểm tra khóa công khai của Alice. Trong hạ tầng khóa công cộng thì Trent chính là nhà cung cấp chứng thực số (CA). Trong mô hình mạng lưới tín nhiệm, Trent có thể là bất kỳ người dùng nào và mức độ tin tưởng vào sự chứng thực tùy thuộc vào sự đánh giá của người dùng. Khi áp dụng chứng thực ở quy mô lớn, có rất nhiều CA cùng hoạt động. Vì vậy Alice có thể không quen thuộc (không đủ tin tưởng) với CA của Bob. Do đó chứng thực của Bob có thể phải bao gồm chữ ký của CA ở mức cao hơn CA2. Quá trình này dẫn đến việc hình thành một mạng lưới quan hệ phức tạp và phân tầng giữa các CA. Hạ tầng khóa công khai thông thường chính là chỉ tới các phần mềm để quản lý hệ thống này. Trong tiêu chuẩn X.509 về hệ thống hạ tầng khóa công khai, mạng lưới CA tạo thành cây từ trên xuống với gốc là một CA trung tâm mà không cần được chứng thực bởi một bên thứ 3 nào khác. Một chứng thực khóa công khai có thể bị thu hồi nếu như khóa bí mật của nó đã bị lộ hoặc mối liên hệ giữa khóa công khai và chủ thể sở hữu đã thay đổi. Điều này có thể xảy ra ở mức độ không thường xuyên nhưng người sử dụng phải luôn kiểm tra tính pháp lý của chứng thực mỗi khi sử dụng. Điều này có thể thực hiện bằng cách so sánh chứng thực với danh sách các chứng thực bị thu hồi (certificate revocation list - CRL). Việc đảm bảo danh sách này chính xác và cập nhật là chức năng cơ bản của hạ tầng khóa công cộng tập trung. Tuy nhiên công việc này đòi hỏi nhân công cũng như ngân sách nên thường không được thực hiện đầy đủ. Để thực sự đạt hiệu quả, danh sách này phải luôn sẵn sàng cho bất kỳ ai cần đến vào bất kỳ thời điểm nào tại mọi nơi. Một cách kiểm tra khác là truy vấn vào nơi đã cung cấp chứng thực với giao thức kiểm tra chứng thực online OCSP (Online Certificate Status Protocol). Cả hai phương pháp trên đều có thể bị thay thế bằng một chuẩn mới: XKMS. Tuy nhiên tiêu chuẩn này chưa được sử dụng rộng rãi. Một chứng thực tiêu biểu gồm các thành phần sau: Khóa công khai; Tên: có thể là tên người, máy chủ hoặc tổ chức; Thời hạn sử dụng; Địa chỉ URL của trung tâm thu hồi chứng thực (để kiểm tra). Tiêu chuẩn chứng thực khóa công khai phổ biến nhất hiện này là X.509 do ITU-T ban hành. Tiêu chuẩn này được làm thích ứng với Internet bởi nhóm làm việc IETF PKIX working group. Phân loại Công ty Verisign đưa ra mô hình gồm 3 loại chứng thực điện tử: Loại 1 dành cho cá nhân, dự kiến cho email; Loại 2 dành cho tổ chức với yêu cầu chứng minh nguồn gốc Loại 3 dành cho máy chủ và phần mềm với khả năng kiểm tra độc lập bằng cách truy vấn tới CA nơi cung cấp. 2. Giao thức SSL 2.1 Giới thiệu về SSL 2.1.1 SSL là gì?SSL(Secure Socket Layer) là một giao thức(protocol) cho phép bạn truyền đạt thông tin một cách an toàn qua mạng.2.1.2 Thuật toán mã hóaMã hóa(encrypt) và giải mã(decrypt) thông tin dùng các hàm toán học đặt biệt được biết đến với cái tên là thuật toán mã hóa (cryptographic algorithm) và thường được gọi tắt là cipher. 2.1.3 Khóa là gì?Khóa(key) là một thông tin quan trọng dùng để mã hóa thông tin hoặc giải mã thông tin đã bị mã hóa. Bạn có thể hiểu nôm na khóa là mật khẩu(password).2.1.4 Các phương pháp mã hóaCó hai phương pháp mã hóa được sử dụng phổ biến hiện nay là mã hóa bằng khóa đối xứng và mã hóa dùng cặp khóa chung - khóa riêng..a. Mã hóa bằng khóa đối xứng(symmetric-key)Khóa dùng để mã hóa cũng là khóa dùng để giải mã.b. Mã hóa dùng cặp khóa chung - khóa riêng (public key - private key)Một khe hở trong mã hóa đối xứng là bạn phải chuyển khóa cho người nhận để họ có thể giải mã. Việc chuyển khóa không được mã hóa qua mạng là một điều cực kì mạo hiểm. Nhở như khóa này rơi vào tay người khác thế là họ có thể giải mã được thông tin mà bạn đã chuyển đi. Phương pháp mã hóa bằng khóa chung - khóa riêng ra đời nhằm giải quyết vấn đề này. Thay vì chỉ có một khóa duy nhất dùng chung cho mã hóa và giải mã, bạn sẽ có một cặp khóa gồm khóa chung chỉ dùng để mã hóa và khóa riêng chỉ dùng để mã hóa. Bạn cho người khác biết khóa chung của bạn để họ mã hóa các thông tin gởi đến bạn. Chỉ có bạn mới có khóa riêng để giải mã các thông tin này. Nhở như thông tin này có rơi vào tay người khác thì họ cũng không thể giải mã được vì chỉ có bạn mới có khóa riêng mà.2.1.5. Độ dài khóa (key-length)Độ dài khóa được tính theo bit: 128bit, 1024bit hay 2048bit,... Khóa càng dài thì càng khó phá. Chằng hạn như khóa RSA 1024bit đồng nghĩa với việc chọn 1 trong 2^1024 khả năng.2.1.6 Password & passparsePassword và passparse gần giống nhau. Password không bao giờ hết hạn(expire). Passparse chỉ có hiệu lực trong một khoảng thời gian nhất định có thể là 5 năm, 10 năm hay chỉ là vài ba ngày. Sau thời gian đó, bạn phải thay đổi lại mật khẩu mới. Nói chung, mọi thứ trong SSL như passparse, khóa, giấy chứng nhận, chữ kí số (sẽ nói sau), ... đều chỉ có thời hạn sử dụng nhất định. Passparse được dùng để mở (mã hóa/giải mã) khóa riêng. 2.2 Cơ chế làm việc của SSL Để dễ hiểu, phần này sẽ trình bày qua ví dụ cụ thể: Alice trao đổi thông tin với Bob bằng công nghệ khóa chung. {something}key có nghĩa là something được mã hóa hoặc giải mã bằng key.Alice cần chắc chắn là mình sẽ nói chuyện với Bob mà không phải là một ai khác. Alice sẽ tiến hành xác thực(authenticate) Bob.Bob có một cặp khóa gồm một khóa chung và một khóa riêng. Bob cho Alice biết trước khóa chung của mình (sẽ nói sau bằng cách nào). Alice tạo ra một thông điệp ngẫu nhiên(random message) và gởi nó đến Bob:A->B message ngẫu nhiênBob dùng khóa riêng của mình để mã hóa thông điệp vừa nhận được và gởi trả lại cho Alice:B->A {message ngẫu nhiên}khóa-riêng-của-bobAlice nhận được message từ Bob, dùng khóa chung của Bob để giải mã message này và sau đó so sánh message vừa giải mã được với random-message đã gởi đi. Nếu giống nhau, Alice có thể tin chắc rằng mình đang nói chuyện với Bob.2.2.1. Bản tóm tắt (digest)Thay vì phải mã hóa toàn bộ message nhận được từ Alice, Bob có thể xây dựng một bản tóm tắt(digest) của message bằng hàm băm một chiều (hash one-way), sau đó mã hóa digest bằng khóa riêng của mình và gởi cho Alice. Alice sẽ dùng khóa chung của Bob để giải mã digest do Bob gởi tới và tính digest của message đã được gởi đi, sau đó so sánh hai digest này với nhau. Nếu trùng nhau, có nghĩa Alice có thể tin chắc là mình đang nói chuyện với Bob.Digest thực chất là chỉ là một số nguyên(integer). Hai thuật toán phổ biến được dùng để tạo digest là MD5 hash 128bit, SHA hash 160 bit. Ai đó có được digest của Bob cũng không thể nào suy luận ra được message nguyên bản(original) vì digest chỉ là giá trị hash một chiều. Hai message khác nhau sẽ có digest khác nhau, khả năng trùng nhau xấp xỉ là 0.2.2.2. Chữ kí điện tử (digital signature)Theo cách ở trên thì Bob đã kí(sign) message do Alice gởi tới, nhở như ai đó đã thay đổi message này thì sao? Vì vậy cần thay đổi một chút như sau:A->B Chào, Có phải Bob đó không?B->A Alice, Mình là Bob đây!{digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobNhư bạn thấy Bob không hề kí message của Alice. Thay vào đó, Bob sẽ gởi một mesage khác(không bị mã hóa) và digest của của message này (đã được mã hóa bằng khóa riêng của Bob) đến cho Alice. Bob chỉ tin tưởng vào chính mình. Alice dễ dàng thẩm tra Bob bằng cách dùng khóa chung của Bob giải mã digest nhận được, sau đó tính digest của message nhận từ Bob và so sánh hai digest này với nhau. Digest mà Bob gởi tới Alice chính là một chữ kí điện tử. Nó kí cho message "Alice, Mình là Bob đây!" để đảm bảo chắc chắn là message này không bị ai đó thay đổi gì khi đến Alice. Nếu thay đổi Alice sẽ biết ngay qua việc thẩm tra digest.2.2.3. Trao khóa chungBob trao khóa chung của mình cho Alice bằng cách nào? Bạn hãy xem thử giao thức sau:A->B Xin chào!B->A Chào, Mình là Bob. Đây là khóa chung của mình!A->B Hãy đưa bằng chứng đi!B->A Alice, Mình là Bob đây!digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobVới cách này thì ai cũng có thể giả mạo Bob và trao khóa chung của họ cho Alice, làm cho Alice tưởng lầm là mình đang nói chuyện với Bob.Để giải quyết vấn đề này, Alice và Bob có thể dùng giấy chứng nhận điện tử2.2.4. Giấy chứng nhận điện tử (digital certificate)Giấy chứng nhận điện tử dùng để chứng nhận khóa chung của một cá nhân nào đó. Một giấy chứng nhận điện tử thường bao gồm các thứ sau:* Tên cơ quan cấp giấy chứng nhận (issuer's name) * Tên thực thể(entity) được cấp giấy chứng nhận(còn được gọi là đối tượng - subject) khóa chung của subject * Tên thời gian(time-stamps) cho biết thời gian có hiệu lực của giấy chứng nhận  Chỉ có các cơ quan có thẩm quyền Certificate Authority (thường được gọi tắt là CA) mới đươc phép cấp giấy chứng nhận. Giấy chứng nhận được kí bằng khóa riêng của người cấp. CA cũng được tổ chức theo dạng cây "hierarchy" tương tự như domain-name. Dĩ nhiên bạn cũng có thể tạo ra một CA mới cho riêng cho mình.Chúng ta hãy xem giao thức mới này:A->B Xin chào!B->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!A->B Hãy đưa bằng chứng đi!B->A Alice, Mình là Bob đây!{digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobAi đó dùng giấy chứng nhận của Bob để giả mạo Bob sẽ bị Alice phát hiện ngay!A->M Xin chàoM->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!A->M Hãy đưa bằng chứng đi!M->A ???Mallet không biết khóa riêng của Bob nên không thể xây dựng được message để Alice có thể tin mình là Bob.2.2.5. Trao đổi khóa bí mật (secret-key)Sau khi Alice đã xác thực mình đang nói chuyện với Bob, Alice sẽ gởi cho Bob một message đã bị mã hóa bằng khóa chung của Bob:A->B {khóa bí mật}khóa-chung-của-bobBằng cách này, chỉ có Bob mới có thể giải mã message trên và lấy được khóa bí mật bởi vì chỉ có Bob mới biết được khóa riêng để giải mã. Trao đổi khóa bí mật bằng công nghệ khóa chung cực kì an toàn. Không một ai ngoại trừ Alice và Bob biết được khóa bí mật. Khóa bí mật này còn được biết đến với cái tên là khóa phiên(session key). Kể từ đây Alice và Bob sẽ dùng khóa phiên để trao đổi dữ liệu cho nhau. Khóa phiên được tạo ra trong mỗi phiên kết nối SSL và hoàn toàn bí mật(chỉ có Alice và Bob biết) nên rất an toàn. Công nghệ chuyên chở khóa phiên bằng khóa chung và dùng khóa phiên như một khóa đối xứng bí mật để trao đổi dữ liệu cho nhau còn được biết đến với cái tên là mã hóa dùng khóa lai ghép(hybrid), tức là kết hợp cả hai phương pháp mã hóa dung khóa đối xứng và khóa chung-khóa riêng.Đây là giao thức mới:A->B Xin chào!B->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!A->B Hãy đưa bằng chứng đi!B->A Alice, Mình là Bob đây!{digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobA->B Ok Bob, Đây là {khóa bí mật}khóa-chung-của-bobB->A {message 1}khóa-bí-mậtB->A {message 2}khóa-bí-mật...2.2.6. Tấn công man-in-the-middleGiao thức trên chưa phải là an toàn tuyệt đối. Mallet ngồi giữa Alice và Bob có thể chơi trò tấn công man-in-the-middle như sau:A->M Xin chào!M->B Xin chào!B->M Chào, Mình là Bob. Đây là giấy chứng nhận của mình!M->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!A->M Hãy đưa bằng chứng đi!M->B Hãy đưa bằng chứng đi!B->M Alice, Mình là Bob đây!{digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobM->A Alice, Mình là Bob đây!{digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobA->M Ok Bob, đây là {khóa bí mật}khóa-chung-của-bobM->B Ok Bob, đây là {khóa bí mật}khóa-chung-của-bobB->M {some message}khóa-bí-mậtM->A Xén[{some message}khóa-bí-mật]Mallet sẽ chuyển tiếp dữ liệu giữa Alice và Bob cho đến khi họ trao đổi khóa bí mật. Tại thời điểm này Alice nghĩ rằng mình đang nói chuyện với Bob nên tin tưởng hoàn toàn vào các message do Bob gởi tới. Thực chất không phải là như vậy. Mallet mặc dù không biết khóa bí mật nhưng hoàn toàn có thể xén, thêm hoặc sửa đổi gì đó trên các dữ liệu được gởi từ Bob đến Alice.2.2.7. Mã xác thực thông điệp (MAC)Để ngăn chặn cuộc tấn công man-in-the-middle trên, Alice và Bob có thể dùng thêm mã xác thực thông điệp (Message Authentication Code) thường được gọi tắt là MAC. Thuật toán tạo MAC khá đơn giản:MAC = Digest[some message, khóa bí mật]Mallet không biết khóa bí mật nên không tài nào tính đúng giá trị digest của message. Thậm chí nếu Mallet có cắt xén random các message thì tỉ lệ thành công là rất thấp vì dữ liệu digest vô cùng lớn. Ví dụ, nếu dùng MD5, Alice và Bob có thể gởi kèm MAC 128bit trong các message. Mallet cần trúng giá trị MAC nếu muốn tấn công man-in-the-middle với khả năng thành công là 1/18.446.744.073.709.551.616 khả năng trong một thời gian vô cùng ngắn.Đây là toàn bộ giao thức:A->B Xin chào!B->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!A->B Hãy đưa bằng chứng đi! B->A Alice, Mình là Bob đây!{digest[Alice, Mình là Bob đây!]}khóa-riêng-của-bobA->B Ok Bob, đây là {khóa bí mật}khóa-chung-của-bob{some message, MAC}khóa-bí-mậtKết luận: SSL cực kì an toàn và không thể bị phá trong ngày một ngày hai. Hãy tận dụng sức mạnh của SSL để bảo mật cho các thông tin quan trọng của bạn. 3. Ví dụ về sử dụng chữ kí điện tử trong E-mail Chúng ta hãy bắt tay vào ứng dụng cụ thể sau đây để hiễu rõ hơn về cách thức dùng chũ ký điện tử trong một giao dịch thông thường. Trong mô ví dụ này, chúng ta cần 2 tài khoản e-mail dạng POP3. Tài khoản e-mail POP3 thứ nhất được xác lập cho Mike (trong ví dụ này Mike sẽ dùng để gửi email và tài khoản thứ hai xác lập cho Amanda (Amanda sẽ dùng để nhận e-mails và kiểm tra chữ ký điện tử nhằm xác định các mails này đúng là đến từ Mike ) Cấn kiểm tra kết nối Internet đã sẵn sàng cho việc gửi và nhận e-mails. Xin nhắc lại, Mike chính là người gửi (sender) và Amanda sẽ là người nhận mails (receiver). Trong ví dụ này, website của công ty cổ phần Storks và các tài khoản emails của họ được một nhà cung cấp dịch vụ/lưu trữ Web (web hosting service) trên Internet duy trì. Nhà cung cấp dịch vụ Web cung cấp cho công ty Storks các thông tin về tài khoản email cho Mike và Amanda, những tài khoản sẽ được sử dụng trong ví dụ này. Tất cả nhân viên dùng e-mail tại Storks đều dùng Outlook Express hoặc Microsoft Outlook là chương trình Mail client mặc định của mình. Cài đặt một tài khoản email  POP3 1. Mike sử dụng Outlook Express là chương trình mail client mặc định của mình. Đăng nhập vào Windows XP Computer của mình (Pro-1). Mở Outlook Express từ menu chọn Tools, chọn Accounts. 2. Click vào Mail tab sau đó chọn Add, chọn tiếp Mail. Sau đó wizard sẽ hướng dẫn Mike từng bước để điền name, email address và thông tin về tài khoản POP3. các thông tin về tài khoản mail được cung cấp bởi ISAP hoặc nhà cung cấp dịch vụ Web (web hosting). Lưu ý: Bạn cần cài đặt thêm một tài khoản POP3 thứ hai dành cho Amanda theo cùng cách thức trên để kiểm tra chữ ký điện tử của các tài liệu nhận được từ email của Mike. Thuê một chứng chỉ số cá nhân (personal certificate) từ một nhà cung cấp chứng chỉ số công cộng (public CA) 3. Bước kế tiếp, để có thể gửi mail với chũ ký điện tử, Mike cần liên hệ và thuê chứng chỉ số cá nhân từ một nhà cung cấp chứng chỉ số tin cậy (trusted public CA), chẳng hạn như Verisign hay Thawte. Thuê chứng chỉ số từ bên cung cấp thứ ba (3rd party) được đánh giá tin cậy là điều cần thiết nếu bạn muốn chuyển email an toàn đến một người nhận không cùng trong tổ chức của bạn. Vì thông thường, trong một tổ chức, để đảm bảo an toàn cho các giao dịch nội bộ  dùng chữ ký điện tử, tổ chức đó thường sử dụng dịch vụ cung cấp chứng chỉ số an toàn của riêng mình (ví dụ cài đặt và triển khai dịch vụ cung cấp chứng chỉ số Certificate Authority –CA, trên Windows Server 2003) . Tuy nhiên nhà cung cấp chứng chỉ số cục bộ này không thường được sử dụng cho các giao dịch điện tử với các giao dịch không cùng tổ chức của bạn. Chính vì những lý do này, nên công ty Storks đã quyết định sử dụng chứng chỉ số của nhà cung cấp Thawte (www.thawte.com), để trang bị cho Mike trong các giao dịch email dùng chứng chỉ số cá nhân. Và Mike có thể đăng ký cho mình một tài khoản Personal Email Certificate hoàn toàn miễn phí tại đây. Truy cập weblink sau và tiến hành đăng ký để nhận chứng chỉ số cá nhân Lưu ý quan trọng: Bạn phải cung cấp cho Thawte thông tin cá nhân để xác định bạn. Các thông tin này là cần thiết và sẽ được các hệ thống CA của Thawte xử lý trong tiến trình cấp pháp chứng chỉ số cho bạn. Đảm bảo phải đọc tất cả các thông tin về việc cung cấp chứng chỉ số trên Website của Thawte và biết những việc gì cần thiết phải thực hiện trong suốt quá trình đăng ký. Bạn cần cung cấp thông tin cá nhân và trả lời 5 câu hỏi xác nhận cho chính mình.Sau khi đã thực hiện đăng ký, bạn sẽ nhận một email từ Thawte với những hướng dẫn cụ thể cách thức hoàn thành việc xin cấp chứng chỉ số. Sau quy trình này, bạn sẽ nhận tiếp một email khác xác nhận chứng chỉ số cá nhân của Thawte đã được cấp cho bạn. Chỉ cần click vào các link trên Email này và tiến hành cài đặt chứng chỉ số. Click Yes và OK khi thông báo Certificate Installation Complete xuất hiện . Xác nhận điện tử cho các emails Một khi chứng chỉ số cá nhân cho email đã được cài đặt , bạn có thể dùng nó làm chữ ký số và mã hóa các email gửi đi. 1. Mở Outlook Express dùng tài khoản email POP3 đầu tiên đã tạo ở trên. Chọn Tools, chọn Options và chọn Security tab. Trên tab này, chúng ta sẽ có một tùy chọn encrypt and digitally sign your outgoing messages. Click Apply và OK. 2. Click vào Create Mail và bạn sẽ thấy biểu tượng ruy băng đỏ ở góc trên bên phải. Điều này có nghĩa là email mà bạn gửi đi sẽ được xác nhận với chữ ký số. điền vào To: người nhận địa chỉ email là Amanda (email POP3 thứ 2 bạn tạo) Sau đó click Send. 3. Chuyển đến tài khoản email POP3 của Amanda và mở email nhận được từ Mike. Bạn sẽ thấy message mà Amanda nhận sẽ tương tự màn hình bên dưới. Click vào Continue để xem thông điệp thực sự . Bạn hãy để ý ruy băng màu đỏ góc phải trên của mail. Điều này cho Amanda biết rằng Mike đã tiến hành gửi mail này dùng chữ ký số. Click vào biểu tượng ruy băng Đỏ để xem chữ ký số từ người gửi (sender). Kiểm tra và thấy rằng nội dung mail đã không bị thay đổi và chữ ký số này là đáng tin cậy. Có thể xem thông tin về chứng chỉ số cá nhân của sender bằng cách click View Certificate. Mã hóa Emails Mã hóa là một phương pháp bảo mật thực hiện việc chuyển đổi dữ liệu từ dạng thông thường (plain text) thành dạng không thể đọc theo cách thông thường (unreadable text) nhằm đảm bảo sự cẩn mật (confidentiality), tính tích hợp (integrity) và tính chất xác thực (authenticity) của dữ liệu . Khi bạn mã hóa email, thì toàn bộ email sẽ được mã hóa bao gồm phần thông điệp và các file đính kèm (attachments). Một chữ ký số sẽ đảm bảo tính chất xác thực (đúng là người gửi) và tính tích hợp (dữ liệu đã không bị thay đổi) nhưng không đảm bảo được tính chất bí mật (confidentiality) vì nội dung mail đã không được mã hóa. 1. Mở Outlook Express dùng tài khoản mail POP3 thứ 2 tức của Amanda’. Chọn Tools, chọn Options. Click vào Security tab. Đánh dấu vào hộp Encrypt contents and attachments for all outgoing messages. Click Apply và OK. 2. Click vào Create Mail và sẽ thấy xuất hiện biểu tượng ổ khóa lock ở góc trên bên phải. Điều này có nghĩa là email của bạn sẽ được mã hóa khi gửi. Điền vào địa chỉ  email người nhận là tài khoản POP3 của Mike và click Send. 3.Quay trở lai tài khoản mail POP3 của Mike và mở email mà Amanda vừa gửi. khi bạn mở email, bạn sẽ nhận được một thông điệp An application is requesting access to a protected item. 4.Click OK và sau đó chọn Continue để đọc nội dung email đã mã hóa. 5. Bạn có thể click biểu tượng ổ khóa màu xanh để xem thông tin chi tiết hơn về email đã mã hóa . Amanda  đã không xác nhận chữ ký số cho message này nên tại Digital Signature tất cả các dòng đều xác nhận không sử dụng n/a (not available). IV. Kết luận : Thương mại điện tử càng ngày sự ảnh hưởng rõ nét của nó tới nền kinh tế. Nó là thị trường ảo, là một thị trường mà sẽ rút ngắn được các quan hệ kinh tế, các giao dịch thương mại trên toàn cầu… thông qua việc truyền dữ liệu giữa các máy tính trong các chính sách phân phối của tiếp thị. Giao dịch điện tử bao gồm các loại giao dịch thương mại mà các đối tác giao dịch sử dụng các kỹ thuật thông tin trong khuôn khổ chào mời, là phương thức mới để thay thế các phương thức giao dich cũ để đạt hiệu quả hơn. Tuy được nghiên cứu từ lâu nhưng để chuyển phương thức mới này thành phổ cập thì cần thời gian lâu dài để trở nên phổ biến trên toàn cầu vì lý do kỹ thuật, trình độ nhân công kĩ thuật cao, công nghệ mới của các quốc gia… Trong quá trình làm bài này tuy gặp nhiều khó khăn nhưng em đã được sự giúp đỡ tận tình của thầy Lưu Minh Tuấn qua sự chỉ bảo cặn kẽ việc khai thác vấn đề này. Em xin chân thành cảm ơn!