Home
Latest images
Search
Register
Log inMă khoá công khai trong mạng riêng ảo (PKI và VPN)
Page 1 of 1
Mă khoá công khai trong mạng riêng ảo (PKI và VPN)
Jimmynguyen Thu May 29, 2008 11:14 am
Mă khoá công khai trong mạng riêng ảo (PKI và VPN)
Hiện nay nhiều mạng riêng ảo (VPN) đang thể hiện sự hạn chế bởi chính hệ thống bảo mật quá đơn giản. Trong bài này chúng ta sẽ bàn đến một số sửa đổi cần thiết để có thể đáp ứng yêu cầu phát triển một mạng riêng ảo lớn và có tính bảo mật cao.
Đa số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mă khoá công khai (PKI). Các điểm kết cuối của các mạng VPN này (các cổng bảo mật hoặc các máy khách) nhận thực lẫn nhau thông qua thiết lập các "đường ngầm" IP. Một cách đơn giản nhất, điều đó có thể thực hiện được thông qua việc thiết đặt cầu h́nh tại cả hai đầu của đường ngầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu (password). Phương pháp giải quyết "thô sơ" này có thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồng kềnh, khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tới hàng trǎm, thậm chí hàng ngàn điểm.
Hăy so sánh với một câu lạc bộ nhỏ, ở đó mọi người đều biết nhau v́ số lượng người ít và hầu như họ đă quen biết nhau từ trước. Không có ǵ khó khǎn trong việc ghi nhớ tên và nhận dạng của các thành viên trong một nhóm nhỏ. Nhưng với một câu lạc bộ có hàng trǎm thành viên th́ chắc chắn cần phải có thẻ hội viên. Các thành viên mới có thể chứng minh họ là ai khi họ xuất tŕnh thẻ hội viên. Với "hạ tầng" như vậy, hai người hoàn toàn không quen biết có thể nhận dạng và tin cậy nhau đơn giản là v́ họ tin vào thẻ hội viên của nhau.
Tương tự như vậy, hai đầu cuối VPN có thể nhận thực nhau thông qua giấy chứng nhận điện tử - Một loại "thẻ hội viên điện tử" không thể thiếu trong các mạng VPN lớn. Vậy tại sao hiện nay không phải mạng VPN lớn nào cũng sử dụng chứng nhận điện tử? Bởi v́ việc triển khai mạng lớn không chỉ đ̣i hỏi chứng nhận điện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm: khối cung cấp chứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cách thức truy xuất dễ dàng để xác nhận tính hợp lệ. Nói một cách ngắn gọn, đó chính là cơ sở hạ tầng mă khoá công khai - PKI.
Khoá công khai là ǵ và tác dụng?
Để hiểu được yêu cầu và các đ̣i hỏi của PKI, chúng ta cần biết một số kiến thức sơ lược về khoá mật mă công khai. Hệ thống này xây dựng trên cơ sở một cặp khoá mă có liên hệ toán học với nhau trong đó một khoá sử dụng để mă hoá thông điệp và chỉ có khoá kia mới giải mă được thông điệp và ngược lại. Khi đó chúng ta có thể công khai hoá một khoá trong cặp khoá này. Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ có thể sử dụng khoá đă được cung cấp công khai này để mă hoá thông điệp trước khi gửi đi và bởi v́ chúng ta đă giữ bí mật khoá mă c̣n lại nên chỉ chúng ta mới có thể giải mă được thông điệp bảo đảm đó.
Cặp khoá này c̣n dùng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mă bǎm (hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như MD5, SHA-1 ...). Người gửi sẽ mă hoá đoạn mă bǎm bằng khoá riêng của ḿnh và người nhận sẽ dùng khoá công khai của người gửi để giải đoạn mă bǎm của người gửi, sau đó so sánh với đoạn mă bǎm của thông điệp nhận được (được tạo bằng cùng một thuật toán). Nếu trùng nhau th́ người nhận có thể tin rằng thông điệp nhận được không bị thay đổi trong quá tŕnh truyền tải trên mạng và xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ kư điện tử.
Nhưng cần nhắc lại là chúng ta yêu cầu không chỉ chữ kư - chúng ta cần một thẻ hội viên điện tử. Chính v́ thế mà xuất hiện khái niệm giấy chứng nhận điện tử. Một chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tương tự như thẻ hội viên gắn tên của hội viên với chữ kư và ảnh của họ. Để đảm bảo giấy chứng nhận là hợp lệ, chúng ta thường yêu cầu giấy chứng nhận phải được cấp do một tổ chức tin cậy. Đối với giấy chứng nhận điện tử, tổ chức này được gọi là hệ thống cung cấp chứng nhận (CA-Certification Authority)
Các mạng VPN sử dụng chứng nhận điện tử như thế nào?
Khi đường ngầm IP đă được khởi tạo, các điểm kết cuối sẽ nhận thực lẫn nhau thông qua chứng nhận điện tử. Ví dụ cổng bảo mật X sẽ tự chứng nhận và kư (điện tử) thông điệp bằng khoá mă riêng của nó. Cổng bảo mật Y sẽ nhận chúng nhận điện tử của X và sử dụng khoá công khai của X để kiểm tra chữ kư điện tử. Nếu đúng th́ cổng bảo mật X được xác nhận v́ chữ kư điện tử chỉ có thể được tạo ra bằng khoá mă riêng được gắn liền với chứng nhận điện tử của X.
Tại sao giấy chứng nhận điện tử lại có tính mở rộng hơn kiểu chia sẻ khoá bảo mật chung? Rơ ràng chúng ta không c̣n cần phải cung cấp những cặp mă khoá chia sẻ cho mỗi cặp thiết bị VPN. Mỗi thiết bị VPN chỉ cần một giấy chứng nhận điện tử. Và chúng ta cũng không cần phải thiết lập lại cấu h́nh của tất cả các điểm đă có của VPN mỗi khi chúng ta mở thêm một điểm mới. Thay vào đó, chúng ta có thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư mục công cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta có thể kết hợp hai mạng VPN sẵn có thông qua việc cộng tác giữa hai CA trong trao đổi cơ sở dữ liệu và trong việc phát hành giấy chứng nhận. Điều đó cũng tương tự như việc công nhận hộ chiếu của một nước khác như là một giấy chứng minh hợp lệ vậy.
Cũng như hộ chiếu, mỗi giấy chứng nhận điện tử cũng phải có thời hạn hợp lệ và có thể bị nơi phát hành thu hồi khi cần thiết. Xuất tŕnh chữ kư điện tử liên quan đến một giấy chứng nhận điện tử không hợp lệ, không tồn tại hay đă bị thu hồi sẽ dẫn đến việc truy nhập không thành công. Vấn đề này có thể trở nên phức tạp nếu người kiểm tra (nơi nhận) không thường xuyên kiểm tra t́nh trạng hợp lệ của giấy chứng nhận tại nơi phát hành giấy chứng nhận (CA). Thậm chí, nếu việc kiểm tra được thực hiện th́ có thể danh sách các giấy chứng nhận điện tử bị thu hồi cũng đă "lạc hậu". Vậy th́ cần phải kiểm tra các danh sách này hàng tháng, hàng tuần hay hàng ngày, hàng giờ? đó là vấn để của thực tế khi áp dụng các chính sách bảo mật của mỗi nhà quản trị mạng cụ thể.
Các thành phần của PKI
VPN không phải là dịch vụ bảo mật duy nhất ứng dụng PKI. Có rất nhiều yêu cầu bảo mật khác có thể được thoả măn khi sử dụng PKI như thư bảo mật (email-secured with S/MINE), các giao dịch bảo mật của Web (Web transaction secured with SSL) ... Các yêu cầu đó có thể khác nhau do tính chất của mỗi dịch vụ hay ứng dụng, tất cả đều dựa trên một "Cơ sở hạ tầng mă khoá công khai - PKI" bao gồm các thành phần cơ bản như H́nh 1- Xây dựng mă khoá công khai PK Với mục đích tránh sự không công nhận của mỗi thực thể, chỉ có chính bản thân họ mới được sử dụng đến khoá bảo mật riêng. Với cách làm như vậy, các thực thể không thể phủ nhận được việc đă "kư" tên vào thông điệp v́ không ai khác có thể "kư" như vậy được. Cũng chính v́ nguyên nhân như vậy, mă khoá riêng này cần được lưu giữ an toàn. Khi mă khoá này bị lộ v́ một nguyên nhân nào đó, giấy chứng nhận điện tử cần phải được thu hồi.
Để thuận tiện trong việc phân phát, các giấy chứng nhận thường được công bố qua hệ thống uỷ nhiệm. Để tǎng khả nǎng truy xuất, t́m kiếm và độ an toàn của hệ thống, các giấy chứng nhận trong các hệ thống uỷ nhiệm thường được công bố trong các "thư mục che phủ nhiều tầng" - (Multiple shadow directories). Do yêu cầu thiết kế và nhu cầu thực tế, cả CA đều cần phải được bảo mật tốt nên hai thành phần này thường được phân cách không những theo logic mà c̣n phải được phân cách cả vị trí vật lư.
Chức nǎng quản lư được giao cho RA - Thành phần cấp quyền đǎng nhập (Registration Authorities). RA có nhiệm vụ quản trị việc đǎng kư tên, khởi tạo hoặc lưu trữ các cặp khoá mă, xác nhận các thực thể trong giai đoạn đǎng kư, yêu cầu CA cấp chứng nhận, chuyển các khoá mă đến các thực thể, khởi tạo hoặc thu hồi các giấy chứng nhận điện tử. RA là một cơ chế hỗ trợ CA rất hiệu quả, và cũng như trường hợp trên, do yêu cầu bảo mật, RA và CA thường cũng được phân cách nhau cả về mặt vật lư và do các nhóm quản trị mạng khác nhau chịu trách nhiệm.
Đó là các thành phần cǎn bản của một hệ thống PKI. Ngoài ra, trong thực tế có thể có một số thành phần và dịch vụ phụ trợ khác trong PKI hoặc có liên quan đến hoạt động của PKI cũng như không phải một hệ PKI nào cũng có đủ các thành phần cơ bản như trên.
Chúng ta cũng có hai cách lựa chọn triển khai PKI: Sử dụng dịch vụ từ nhà cung cấp hoặc tự xây dựng nên hệ thống của ḿnh.
Hiện nay nhiều mạng riêng ảo (VPN) đang thể hiện sự hạn chế bởi chính hệ thống bảo mật quá đơn giản. Trong bài này chúng ta sẽ bàn đến một số sửa đổi cần thiết để có thể đáp ứng yêu cầu phát triển một mạng riêng ảo lớn và có tính bảo mật cao.
Đa số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mă khoá công khai (PKI). Các điểm kết cuối của các mạng VPN này (các cổng bảo mật hoặc các máy khách) nhận thực lẫn nhau thông qua thiết lập các "đường ngầm" IP. Một cách đơn giản nhất, điều đó có thể thực hiện được thông qua việc thiết đặt cầu h́nh tại cả hai đầu của đường ngầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu (password). Phương pháp giải quyết "thô sơ" này có thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồng kềnh, khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tới hàng trǎm, thậm chí hàng ngàn điểm.
Hăy so sánh với một câu lạc bộ nhỏ, ở đó mọi người đều biết nhau v́ số lượng người ít và hầu như họ đă quen biết nhau từ trước. Không có ǵ khó khǎn trong việc ghi nhớ tên và nhận dạng của các thành viên trong một nhóm nhỏ. Nhưng với một câu lạc bộ có hàng trǎm thành viên th́ chắc chắn cần phải có thẻ hội viên. Các thành viên mới có thể chứng minh họ là ai khi họ xuất tŕnh thẻ hội viên. Với "hạ tầng" như vậy, hai người hoàn toàn không quen biết có thể nhận dạng và tin cậy nhau đơn giản là v́ họ tin vào thẻ hội viên của nhau.
Tương tự như vậy, hai đầu cuối VPN có thể nhận thực nhau thông qua giấy chứng nhận điện tử - Một loại "thẻ hội viên điện tử" không thể thiếu trong các mạng VPN lớn. Vậy tại sao hiện nay không phải mạng VPN lớn nào cũng sử dụng chứng nhận điện tử? Bởi v́ việc triển khai mạng lớn không chỉ đ̣i hỏi chứng nhận điện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm: khối cung cấp chứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cách thức truy xuất dễ dàng để xác nhận tính hợp lệ. Nói một cách ngắn gọn, đó chính là cơ sở hạ tầng mă khoá công khai - PKI.
Khoá công khai là ǵ và tác dụng?
Để hiểu được yêu cầu và các đ̣i hỏi của PKI, chúng ta cần biết một số kiến thức sơ lược về khoá mật mă công khai. Hệ thống này xây dựng trên cơ sở một cặp khoá mă có liên hệ toán học với nhau trong đó một khoá sử dụng để mă hoá thông điệp và chỉ có khoá kia mới giải mă được thông điệp và ngược lại. Khi đó chúng ta có thể công khai hoá một khoá trong cặp khoá này. Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ có thể sử dụng khoá đă được cung cấp công khai này để mă hoá thông điệp trước khi gửi đi và bởi v́ chúng ta đă giữ bí mật khoá mă c̣n lại nên chỉ chúng ta mới có thể giải mă được thông điệp bảo đảm đó.
Cặp khoá này c̣n dùng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mă bǎm (hash) của thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như MD5, SHA-1 ...). Người gửi sẽ mă hoá đoạn mă bǎm bằng khoá riêng của ḿnh và người nhận sẽ dùng khoá công khai của người gửi để giải đoạn mă bǎm của người gửi, sau đó so sánh với đoạn mă bǎm của thông điệp nhận được (được tạo bằng cùng một thuật toán). Nếu trùng nhau th́ người nhận có thể tin rằng thông điệp nhận được không bị thay đổi trong quá tŕnh truyền tải trên mạng và xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ kư điện tử.
Nhưng cần nhắc lại là chúng ta yêu cầu không chỉ chữ kư - chúng ta cần một thẻ hội viên điện tử. Chính v́ thế mà xuất hiện khái niệm giấy chứng nhận điện tử. Một chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tương tự như thẻ hội viên gắn tên của hội viên với chữ kư và ảnh của họ. Để đảm bảo giấy chứng nhận là hợp lệ, chúng ta thường yêu cầu giấy chứng nhận phải được cấp do một tổ chức tin cậy. Đối với giấy chứng nhận điện tử, tổ chức này được gọi là hệ thống cung cấp chứng nhận (CA-Certification Authority)
Các mạng VPN sử dụng chứng nhận điện tử như thế nào?
Khi đường ngầm IP đă được khởi tạo, các điểm kết cuối sẽ nhận thực lẫn nhau thông qua chứng nhận điện tử. Ví dụ cổng bảo mật X sẽ tự chứng nhận và kư (điện tử) thông điệp bằng khoá mă riêng của nó. Cổng bảo mật Y sẽ nhận chúng nhận điện tử của X và sử dụng khoá công khai của X để kiểm tra chữ kư điện tử. Nếu đúng th́ cổng bảo mật X được xác nhận v́ chữ kư điện tử chỉ có thể được tạo ra bằng khoá mă riêng được gắn liền với chứng nhận điện tử của X.
Tại sao giấy chứng nhận điện tử lại có tính mở rộng hơn kiểu chia sẻ khoá bảo mật chung? Rơ ràng chúng ta không c̣n cần phải cung cấp những cặp mă khoá chia sẻ cho mỗi cặp thiết bị VPN. Mỗi thiết bị VPN chỉ cần một giấy chứng nhận điện tử. Và chúng ta cũng không cần phải thiết lập lại cấu h́nh của tất cả các điểm đă có của VPN mỗi khi chúng ta mở thêm một điểm mới. Thay vào đó, chúng ta có thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư mục công cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta có thể kết hợp hai mạng VPN sẵn có thông qua việc cộng tác giữa hai CA trong trao đổi cơ sở dữ liệu và trong việc phát hành giấy chứng nhận. Điều đó cũng tương tự như việc công nhận hộ chiếu của một nước khác như là một giấy chứng minh hợp lệ vậy.
Cũng như hộ chiếu, mỗi giấy chứng nhận điện tử cũng phải có thời hạn hợp lệ và có thể bị nơi phát hành thu hồi khi cần thiết. Xuất tŕnh chữ kư điện tử liên quan đến một giấy chứng nhận điện tử không hợp lệ, không tồn tại hay đă bị thu hồi sẽ dẫn đến việc truy nhập không thành công. Vấn đề này có thể trở nên phức tạp nếu người kiểm tra (nơi nhận) không thường xuyên kiểm tra t́nh trạng hợp lệ của giấy chứng nhận tại nơi phát hành giấy chứng nhận (CA). Thậm chí, nếu việc kiểm tra được thực hiện th́ có thể danh sách các giấy chứng nhận điện tử bị thu hồi cũng đă "lạc hậu". Vậy th́ cần phải kiểm tra các danh sách này hàng tháng, hàng tuần hay hàng ngày, hàng giờ? đó là vấn để của thực tế khi áp dụng các chính sách bảo mật của mỗi nhà quản trị mạng cụ thể.
Các thành phần của PKI
VPN không phải là dịch vụ bảo mật duy nhất ứng dụng PKI. Có rất nhiều yêu cầu bảo mật khác có thể được thoả măn khi sử dụng PKI như thư bảo mật (email-secured with S/MINE), các giao dịch bảo mật của Web (Web transaction secured with SSL) ... Các yêu cầu đó có thể khác nhau do tính chất của mỗi dịch vụ hay ứng dụng, tất cả đều dựa trên một "Cơ sở hạ tầng mă khoá công khai - PKI" bao gồm các thành phần cơ bản như H́nh 1- Xây dựng mă khoá công khai PK Với mục đích tránh sự không công nhận của mỗi thực thể, chỉ có chính bản thân họ mới được sử dụng đến khoá bảo mật riêng. Với cách làm như vậy, các thực thể không thể phủ nhận được việc đă "kư" tên vào thông điệp v́ không ai khác có thể "kư" như vậy được. Cũng chính v́ nguyên nhân như vậy, mă khoá riêng này cần được lưu giữ an toàn. Khi mă khoá này bị lộ v́ một nguyên nhân nào đó, giấy chứng nhận điện tử cần phải được thu hồi.
Để thuận tiện trong việc phân phát, các giấy chứng nhận thường được công bố qua hệ thống uỷ nhiệm. Để tǎng khả nǎng truy xuất, t́m kiếm và độ an toàn của hệ thống, các giấy chứng nhận trong các hệ thống uỷ nhiệm thường được công bố trong các "thư mục che phủ nhiều tầng" - (Multiple shadow directories). Do yêu cầu thiết kế và nhu cầu thực tế, cả CA đều cần phải được bảo mật tốt nên hai thành phần này thường được phân cách không những theo logic mà c̣n phải được phân cách cả vị trí vật lư.
Chức nǎng quản lư được giao cho RA - Thành phần cấp quyền đǎng nhập (Registration Authorities). RA có nhiệm vụ quản trị việc đǎng kư tên, khởi tạo hoặc lưu trữ các cặp khoá mă, xác nhận các thực thể trong giai đoạn đǎng kư, yêu cầu CA cấp chứng nhận, chuyển các khoá mă đến các thực thể, khởi tạo hoặc thu hồi các giấy chứng nhận điện tử. RA là một cơ chế hỗ trợ CA rất hiệu quả, và cũng như trường hợp trên, do yêu cầu bảo mật, RA và CA thường cũng được phân cách nhau cả về mặt vật lư và do các nhóm quản trị mạng khác nhau chịu trách nhiệm.
Đó là các thành phần cǎn bản của một hệ thống PKI. Ngoài ra, trong thực tế có thể có một số thành phần và dịch vụ phụ trợ khác trong PKI hoặc có liên quan đến hoạt động của PKI cũng như không phải một hệ PKI nào cũng có đủ các thành phần cơ bản như trên.
Chúng ta cũng có hai cách lựa chọn triển khai PKI: Sử dụng dịch vụ từ nhà cung cấp hoặc tự xây dựng nên hệ thống của ḿnh.
Jimmynguyen- Posts : 31
Join date : 2008-04-09
Page 1 of 1
Permissions in this forum:
You cannot reply to topics in this forum|
|
|