Báo Cáo Hệ Thống Chứng Thực Số Đề Tài HTTP Over SSL(HTTPS)

1. Giới thiệu tổng quan về HTTPS -------------------------------------- Trang 3
2. Giao thức SSL ----------------------------------------------------------- Trang 3
2.1 Giới thiệu tổng quan SSL ----------------------------------------- Trang 4
2.2 Bảo mật SSL--------------------------------------------------------Trang 5
2.3 Kiến trúc SSL-------------------------------------------------------Trang 6
2.3.1 SSL Alert Protocol------------------------------------------Trang 7
2.3.2 SSL Change Cipher Spec Protocol------------------------Trang 7
2.3.3 SSL Handshake Protocol------------------------------------Trang 7
2.3.4 SSL Record Protocol-----------------------------------------Trang 11
3. Các thuật toán mã hoá dùng trong SSL-------------------------------Trang 13
Tài liệu tham khảo: -------------------------------------------------------------- Trang 13


1. Giới thiệu tổng quan về HTTPS:
 Hypertext Transfer Protocol Secure (HTTPS) là sự .
 Kết nối HTTPS thường được sử dụng cho
 HTTPS báo hiệu cho trình duyệt
 Khi Web browser sử dụng kết nối SSL tới server, dòng “http” trong hộp nhập
địa chỉ URL s “https” sử dụng cổng
8443 thay vì sử dụng HTTP.


2. Giao thức SSL:
2.1. Giới thiệu tổng quan:
 Bảo mật dữ liệu chuyển qua Internet ngày càng Ngày nay mọi người sử dụng
mạng công cộng để . đến the tín dụng
mỗi ngày vì vậy họ cần được bảo vệ khi dữ liệu chuyển đi qua mạng công
cộng dữ liệu trong qua trình
truyền tải bao gồm các để hỗ trợ các giữa máy chủ vầ khách hang
 SSL (Secure Socket Layer), là một phép các người . giao tiếp với nhau trên kết nối được bảo mật. nghiã là dữ liệu gửi đi nghĩa là cả máy chủ và trình duyệt dữ liệu ra bên ngoài.
 Khía cạnh quan trọng khác của giao thức SSL là (Authentication).
Điều này có nghĩa là trong t, thì máy chủ sẽ đưa ra cho trình duyệt một tập các giấy ủy
nhiệm(set of credentials), t . được phục vụ. Trong trường hợp nào đó,
máy chủ cũng yêu cầu một Certificate từ .thực
rằng ta là n ., mặc dù
trong thực .vận B2B hơn là với
các người dụng riêng biệt. kích hoạt SSL không yêu
cầu xác thực client.
 SSL c bảo mật như: bảo mật và dữ liệu, xác thực . Client(tuỳ chọn)
 1 khoá public cho việc . bí mật .Sau
đó nó sử . các message để đảm bảo bí mật
 SSL được tích hợp sẵn vào . sử dụng làm việc với các trang Web ở chế độ an toàn.
 Hiện nay sử dụng rộng rãi nhất, nó là giao thưc bảo mât biến trên Internet trong các ho thương ma ̣i điê ̣n tư ̉ (E-Commerce)
 Các g . triển bởi Ne . để đảm bảo .
vận chu các ứng dụng HTTP ,LDAP hay POP3
.SSL được thiết kế cho việc sử dụng TCP như 1 . cấp end to end an toàn và độ .in cậy giữa 2 điểm trên 1 hệ thống mạng
.mặc dù việc sử dụng dữ liệu trong trường hợp liên
quan đến bất kì các dụng chủ yếu trong máy chủ
HTTP và các ứng dụng khách hàng.Ngày nay hầu như mỗi máy chủ HTTP
đều có . cung cấp SSL cho các ứng
dụng client

2.2. Bảo mật SSL:
 Một hệ thống tính năng như sau:
 Chứng thực: . và mật khẩu. Những công nghệ khác
như: thẻ thông minh,quét võng mạc, ận dang vân tay
 Bảo mật .:Những . Tin tặc sẽ không thể
chuyển chúng t . có thể đọc được.
 thông tin: Thông vẹn trong quá trình
truyền đi.
 Xác thực người gửi: Người g thông điệp họ
gửi

 HTTP hỗ trợ 2 kiểu chứng t ntication và Digest
Access Authentication. Basic Access Authentication cũng an toàn và bảo mật vì tên
người d .u được. Kiểu Digest Access
Authenticat . không được gửi đi, thay vào đó
dạng số hóa của mật khẩu .ại thông tin này. Hơn nữa
máy c .chống lại sự tấn cô ỉ có giá trị
với những thông báo của nhiên điều nay không
đảm bảo v . thông tin và .i gửi.
2.3. Kiến trúc SSL:
 Sự c .iữa client và server .Các g SSL hỗ trợ việc
các kĩ thuật n (public key encryption) để . giao
tiếp với nhau .Mặc .ường xuyên bao gồm việc chứng thực service clients ở certificate ,SSL cũng vẫn có thể sử dụng tương tự để chứ client.Đảm bảo sự toàn vẹn dữ liệu trong phiên làm
việc,dữ liệu khôn . giả mạo
 Bảo mật dữ .: Dữ liệu trong qua .a server và
client phải .thể được đọc bởi người nhận .Điều kiện tiên
quyết này là cần thiế giao thức Các ứng dụng
dữ liệu được g .nó .Trong thực tế SSL không
phải là 1 giao th . các giao thức có thể bổ sung cho
nhau tiếp tục chia thành 2 lớp :
 Giao thức đảm bảo an toàn và toàn vẹn dữ liệu : bao gồm các giao
thức SSL Record
 Giao th andshake
Protocol, the SSL ChangeCipher SpecPprotocol and the SSL Alert
Protocol

2.3.1. SSL Alert Protocol:
 Thông .
2.3.2. SSL Change Cipher Spec Protocol
 Thông báo kết quả của quá trình handshake
2.3.3. SSL handshake protocol:
 Thươn toán mã hóa & giải mã mật
 Trao đổi khóa
 .server và client

 Trong 1 phiên làm việc của SSL, có 2 giai đoạn: handshaking và data transfer .
Handshaking phải liệu để có thể diễn ra 1 cách
an toàn Handshaking .otiation và key exchange
. Ciphersuit negotiation ,client và server thiết lập các à các
thông số để c . Sau đó thiết lập 1 khó session trong quá
trình key exchange

 Handshaking - Ciphersuit Negotiation:
- Client gửi m .hiểu được Client_Hello và yêu cầu
một đối số mã .i của họ. Thông tin của Client_Hello
cũng chứa 32 bytes số ngẫu i Client_random. Ví
dụ:
Client_Hello:
Protocol Version: TLSv1 if you can, else SSLv3.
Key Exchange: RSA if you can, else Diffe-Hellman.
Secret Key Cipher Method: 3DES if you can, else DES.
Message Digest: SHA-1 if you can, else MD5.
Data Compression Method: PKZip if you can, else gzip.

Client Random Number: 32 bytes.
- Phương th g thức yếu hơn, RSA (1024-bit)
đi trước DH, 3DES đi trước DES, SHA-1 (160-bit) đi trước MD5 (128-
bit).
- Server sẽ phản in đọc hiểu bởi Server_Hello để nói rõ
chọn lựa của ciphersuit(server quyết định dựa vào ciphersuit). Thông tin
cũng chứa .ngẫu nhiên được biểu diễn bởi server_random. Ví
dụ:
Server_Hello:
Protocol Version: TLSv1.
Key Exchange: RSA.
Secret Key Cipher Method: DES.
Message Digest: SHA-1.
Data Compression Method: PKZip.
Server Random Number: 32 bytes.

- Các máy client .c thông số mã hoá được dùng cho
phiên làm việc .Các thông số này gọi chung ciphersuit bao gồm:

SSL protocol version ví dụ: TLSv1, SSLv3, SSLv2.
Phương pháp ví dụ : RSA (1024-bit), DH.
Thuật toán í dụ:, 3DES, DES (56-bit).
.p Digest ví dụ SHA-1 (160-bit), MD5 (128-bit).
Ph áp nén dữ liệu ví dụ: PKZip, gzip.

 Handshaking - Key Exchange:
- Một khi các ciphersuit được đồng ý sử dụng ,các máy client và máy server sẽ
thiết lập 1 khoá session:
1. Client sử dụng pu hóa và gửi đến server.
2. Chỉ server mới có private key t i mã thông tin đã được mã hóa

9


3. Client và server sẽ sử dụng thông tin này để tạo một session key độc lập và
đồng thời
4. Session key này sẽ được dùng cho kết nối bảo mật cho session kết nối cá nhân
- Server gửi chứng chỉ số của nó tới client, thứ đượccấp bởi root CA. Client sử
dụng public key của root CA để xác thực chứng chỉ của server(public key của
root CA đáng tin cậy được cà .g trình duyệt). Sau đó nó lấy lại
public key từ . chứng chỉ server được cấp bởi sub CA,
client phải tạ một chứng chỉ số và gửi đến CA đáng tin cậy để xác thực chứng
chỉ server).
- Server có những yê . chứng chỉ client đối với việc chứng
thực client. Trong thực tế server thường không sử dụng chứng thực client
bởi vì:
o Server chứng thự . tra thẻ tín dụng trong
giao dịch thương mại.
o Hầu hết client không có chứng thực số
o Chứng thực thông qua chứng chỉ số mất thời gian và server có thể
mất những client khó chịu
 Giao thức SSL sử dụng kết hợp 2 loại mã hoá đối xứng và công khai. Sử dụng
mã hoá đối xứng nhanh hơn . với mã hoá công khai khi truyền dữ
liệu, nhưng mã hoá công khai lại là giải pháp tốt nhất trong qúa trình xác thực.
Một giao dịch SSL thường ay” có thể tóm tắt như sau:
1.\Client sẽ gửi cho server số phiên bản SSL đang dùng, các tham số của thuật
toán mã hoá, dữ liệu được tạo ra ngẫu nhiên (đó chính là digital signature) và
một số thông tin khác mà server cần để thiết lập kết nối với client.
2.\Server gửi cho client số phiên bản SSL đang dùng, các tham số của thuật
toán mã hoá, dữ liệu iên và một số thông tin khác mà
client cần để thiết lập kết nối với server. Ngoài ra server cũng gửi certificate
của nó đến client, và yêu e của client nếu cần.

10


3.\Client sử dụng một số thông tin mà server gửi đến để xác thực server. Nếu
như server không được x .g sẽ được cảnh báo và kết
nối không được thiết lập. Còn nếu nh .rver thì phía client sẽ
thực hiện tiếp bước 4.
4.\Sử dụng tất cả các thông tin được tạo ra trong giai đoạn bắt tay ở trên, client
(cùng với sự cộng tác của server và phụ thuộc vào thuật toán được sử dụng) sẽ
tạo ra premaster sec ., mã hoá bằng khoá công khai
(public key) mà server gửi đến trong certificate ở bước 2, và gửi đến server.
5.\Nếu server có yêu c . thì phía client sẽ đánh dấu vào phần
thông tin riêng chỉ liên quan đến quá trình “bắt tay” này mà hai bên đều biết.
Trong trường .thông tin được đánh dấu và certificate
của mình cùng với premaster secret đã được mã hoá tới server.
6.\Server sẽ .ường hợp client không được xác thực, phiên
làm việc sẽ bị ngắt. Còn nếu client được xác thực thành công, server sẽ sử
dụng khoá bí mật (private key) để giải mã premaster secret, sau đó thực hiện
một số bước để tạo ra master secret.
7.\Client và server sẽ sử dụng master secret để tạo ra các session key, đó chính
là các khoá đối xứng được sử dụng để mã hoá và giải mã các thông tin trong
phiên làm việc và kiểm tra tính toàn vẹn dữ liệu.
8.\Client s .erver thông báo rằng các message tiếp theo
sẽ được mã hoá bằng session key. Sau đó nó gửi một lời nhắn đã được mã hoá
để thông báo rằng phía client đã kết thúc giai đoạn “bắt tay”.
9.\Server cũng gửi một lời nhắn đến client thông báo rằng các message tiếp
theo sẽ được mã hoá bằng session key. Sau đó nó gửi một lời nhắn đã được
mã hoá để thông báo rằng server đã kết thúc giai đoạn “bắt tay”.
10.\Lúc này hành, và phiên làm việc SSL bắt đầu.
Cả hai phía client và server sẽ sử dụng các session key để mã hoá và giải mã
thông tin trao đổi giữa hai bên, và kiểm tra tính toàn vẹn dữ liệu.




11


2.3.4. SSL Record Protocol:
 Phân đoạn gói dữ liệu
 Nén
 Dùng .để xác thực message và bảo đảm toàn vẹn
 Mã hóa




12


3. Các thuật toán mã hoá dùng trong SSL :
 Các thuật toán mã hoá (cryptographic algorithm hay còn gọi là cipher) là các
hàm toán học được sử dụng để mã hoá và SSL hỗ
trợ r .hoá, được sử dụng để thực hiện các công việc
trong quá trình . các certificates và thiết lập
các khoá của .h (sesion key). Client và server có thể hỗ trợ
các bộ mật mã (cipher suite) khác nhau tuỳ th . phiên
bản SSL đang dùng, chính sách của công ty về độ dài khoá mà họ cảm thấy
chấp nhận được - t của thông tin, .
Các bộ .sẽ đề cập đến các thuật toán sau:
 DES (Data Encryption Standard) là một thuật toán mã hoá có chiều dài
khoá là 56 bit.
 3-DES (Triple-DES): là thuật toá ộ
dài khoá trong mã hoá DES
 DSA (Digital Signature Algorithm): là một .xác
thực số đang được được chính phủ Mỹ sử dụng.
 KEA (Key Exchange Algorithm) là .
 MD5 (Message Digest algorithm) được phát thiển bởi Rivest.
 RSA: là thuật á trình xác thực và
mã hoá dữ liệu được Rivest, Shamir, và Adleman phát triển.
 RSA key exchange: là thuật a trên
thuật toán RSA.
 RC2 and RC4: là các t .est dùng
cho RSA Data Security.
 SHA-1 (Secure Hash Algorithm): là một .
 Các thuật toán trao đổi khoá n .sử dụng để 2
bên client và server .ụng trong suốt phiên