Chương 13: Chữ ký điện tử và thủ tục xác nhận Fourth Edition by William Stallings Lecture slides by Lawrie Brown

Chữ ký điện tử Digital Signatures Được xem như mẩu tin được xác thực Cung cấp các khả năng để Kiểm chứng tác giả, ngày và giờ ký Xác thực nội dung mẩu tin Được kiểm chứng bởi bên thứ 3 để chống từ chối Vì vậy bao gồm hàm xác thực và một số khả năng bổ sung

Được xem như mẩu tin được xác thực

Cung cấp các khả năng để

Kiểm chứng tác giả, ngày và giờ ký

Xác thực nội dung mẩu tin

Được kiểm chứng bởi bên thứ 3 để chống từ chối

Vì vậy bao gồm hàm xác thực

và một số khả năng bổ sung

Các tính chất của chữ ký điện tử Digital Signature Properties Cần phải phụ thuộc vào nội dung ký Cần sử dụng thông tin đặc trưng duy nhất đối với người gửi Để chống cả giả mạo và từ chối Cần phải tương đối dễ dàng tạo ra Dễ dàng đoán nhận và kiểm chứng Không thể tính toán giả mạo được Với bản tin mới và chữ ký đã có Với chữ ký giả mạo cho 1 bản tin Có thể lưu trữ cất chữ ký điện tử

Cần phải phụ thuộc vào nội dung ký

Cần sử dụng thông tin đặc trưng duy nhất đối với người gửi

Để chống cả giả mạo và từ chối

Cần phải tương đối dễ dàng tạo ra

Dễ dàng đoán nhận và kiểm chứng

Không thể tính toán giả mạo được

Với bản tin mới và chữ ký đã có

Với chữ ký giả mạo cho 1 bản tin

Có thể lưu trữ cất chữ ký điện tử

Chữ ký điện tử trực tiếp Direct Digital Signatures Bao gồm chỉ người gửi và người nhận Người nhận được phép có khoá công khai của người gửi Chữ ký được người gửi ký trên toàn bộ mẩu tin hoặc Hash với khoá riêng Có thể mã bằng khoá công khai của người nhận Quan trọng là ký trước và sau đó mã hoá bản tin và chữ ký Tính an toàn phụ thuộc vào khoá riêng của người gửi

Bao gồm chỉ người gửi và người nhận

Người nhận được phép có khoá công khai của người gửi

Chữ ký được người gửi ký trên toàn bộ mẩu tin hoặc Hash với khoá riêng

Có thể mã bằng khoá công khai của người nhận

Quan trọng là ký trước và sau đó mã hoá bản tin và chữ ký

Tính an toàn phụ thuộc vào khoá riêng của người gửi

Chữ ký điện tử có trọng tài Arbitrated Digital Signatures Bao gồm cả việc sử dụng trọng tài A Kiểm tra mọi mẩu tin được ký Sau đó điền ngày giờ và gửi cho người nhận Đòi hỏi mức độ tin cậy hợp lý đối với trọng tài Có thể cài đặt với thuật toán khoá riêng hoặc khoá công khai. Trọng tài có thể được xem hoặc không được xem mẩu tin

Bao gồm cả việc sử dụng trọng tài A

Kiểm tra mọi mẩu tin được ký

Sau đó điền ngày giờ và gửi cho người nhận

Đòi hỏi mức độ tin cậy hợp lý đối với trọng tài

Có thể cài đặt với thuật toán khoá riêng hoặc khoá công khai.

Trọng tài có thể được xem hoặc không được xem mẩu tin

Thủ tục xác thực Authentication Protocols Làm cho các bên tin tưởng vào danh tính của nhau để trao đổi khoá kỳ Có thể 1 chiều và đa trị Vấn đề chính là Bảo mật - để bảo vệ khoá kỳ Thời sự - chống tấn công trì hoãn Các thủ tục đã công bố bị phát hiện có lỗi và cần được điều chỉnh

Làm cho các bên tin tưởng vào danh tính của nhau để trao đổi khoá kỳ

Có thể 1 chiều và đa trị

Vấn đề chính là

Bảo mật - để bảo vệ khoá kỳ

Thời sự - chống tấn công trì hoãn

Các thủ tục đã công bố bị phát hiện có lỗi và cần được điều chỉnh

Tấn công trì hoãn Replay Attacks Bao gồm chỉ người gửi và người nhận Người nhận được phép có khoá công khai của người gửi Chữ ký được người gửi ký trên toàn bộ mẩu tin hoặc Hash với khoá riêng Có thể mã bằng khoá công khai của người nhận Quan trọng là ký trước và sau đó mã hoá bản tin và chữ ký Tính an toàn phụ thuộc vào khoá riêng của người gửi

Bao gồm chỉ người gửi và người nhận

Người nhận được phép có khoá công khai của người gửi

Chữ ký được người gửi ký trên toàn bộ mẩu tin hoặc Hash với khoá riêng

Có thể mã bằng khoá công khai của người nhận

Quan trọng là ký trước và sau đó mã hoá bản tin và chữ ký

Tính an toàn phụ thuộc vào khoá riêng của người gửi

Sử dụng khoá đối xứng Using Symmetric Encryption Như đã thảo luận trước có thể sử dụng kiến trúc 2 tầng khoá Thông thường có Trung tâm phân phối khoá tin cậy Mỗi bên chia sẻ khoá chính của mình với KDC KDC sinh khoá kỳ được sử dụng trao đổi giữa các bên Khoá chính được dùng để phân phối khoá kỳ

Như đã thảo luận trước có thể sử dụng kiến trúc 2 tầng khoá

Thông thường có Trung tâm phân phối khoá tin cậy

Mỗi bên chia sẻ khoá chính của mình với KDC

KDC sinh khoá kỳ được sử dụng trao đổi giữa các bên

Khoá chính được dùng để phân phối khoá kỳ

Needham-Schroeder Protocol Thủ tục phân phối khoá có bên thứ 3 tham gia Tạo khoá kỳ giữa A và B do KDC cung cấp Thủ tục cụ thể như sau: 1. A->KDC: ID A || ID B || N 1 2 . KDC -> A: E Ka [Ks || ID B || N 1 || E Kb [ Ks || ID A ] ] 3. A -> B: E Kb [ Ks || ID A ] 4. B -> A: E Ks [ N 2 ] 5. A -> B: E Ks [f( N 2 )]

Thủ tục phân phối khoá có bên thứ 3 tham gia

Tạo khoá kỳ giữa A và B do KDC cung cấp

Thủ tục cụ thể như sau:

1. A->KDC: ID A || ID B || N 1

2 . KDC -> A: E Ka [Ks || ID B || N 1 || E Kb [ Ks || ID A ] ]

3. A -> B: E Kb [ Ks || ID A ]

4. B -> A: E Ks [ N 2 ]

5. A -> B: E Ks [f( N 2 )]

Needham-Schroeder Protocol Sử dụng phân phối khoá bộ phận mới để A và B trao đổi Có lỗ hổng là bị tấn công trì hoãn, nếu khoá bộ phận cũ vẫn còn thỏa thuận dùng Khi đó mẩu tin 3 có thể bị gửi lại khẳng định với B là đang trao đổi với A Muốn sửa lỗi trên cần phải Dùng Tem thời gian (Denning 81) Sử dụng thêm nhãn (Neuman 93)

Sử dụng phân phối khoá bộ phận mới để A và B trao đổi

Có lỗ hổng là bị tấn công trì hoãn, nếu khoá bộ phận cũ vẫn còn thỏa thuận dùng

Khi đó mẩu tin 3 có thể bị gửi lại khẳng định với B là đang trao đổi với A

Muốn sửa lỗi trên cần phải

Dùng Tem thời gian (Denning 81)

Sử dụng thêm nhãn (Neuman 93)

Sử dụng khoá công khai Using Public-Key Encryption Có nhiều ứng dụng dựa trên khoá công khai Cần phải tin tưởng rằng có khoá công khai đúng của các đối tác khác. Sử dụng máy chủ xác thực trung tâm AS (Authentication Server) Có nhiều thủ tục tồn tại sử dụng tem thời gian và nhãn

Có nhiều ứng dụng dựa trên khoá công khai

Cần phải tin tưởng rằng có khoá công khai đúng của các đối tác khác.

Sử dụng máy chủ xác thực trung tâm AS (Authentication Server)

Có nhiều thủ tục tồn tại sử dụng tem thời gian và nhãn

Denning AS Protocol Denning 1981 đề xu ất 1. A -> AS: ID A || ID B 2. AS -> A: E PRas [ ID A ||PU a ||T] || E PRas [ ID B ||PU b ||T] 3. A -> B: E PRas [ ID A ||PU a ||T] || E PRas [ ID B ||PU b ||T] || E PUb [E PRas [K s ||T]] Nhận thấy rằng khoá kỳ được chọn bởi A, do đó AS không cần được uỷ quyền bảo vệ nó Tem thời gian chống trì hoãn nhưng cần đồng hồ đồng bộ

Denning 1981 đề xu ất

1. A -> AS: ID A || ID B

2. AS -> A: E PRas [ ID A ||PU a ||T] || E PRas [ ID B ||PU b ||T]

3. A -> B: E PRas [ ID A ||PU a ||T] || E PRas [ ID B ||PU b ||T] || E PUb [E PRas [K s ||T]]

Nhận thấy rằng khoá kỳ được chọn bởi A, do đó AS không cần được uỷ quyền bảo vệ nó

Tem thời gian chống trì hoãn nhưng cần đồng hồ đồng bộ

Xác thực một chiều One-Way Authentication Được dùng khi người nhận và người gửi không cùng ở trạng thái trao đổi Có đầu tin rõ ràng để có thể phân phối bởi hệ thống thư điện tử Có thể muốn nội dung tin được bảo vệ và xác thực bởi người gửi

Được dùng khi người nhận và người gửi không cùng ở trạng thái trao đổi

Có đầu tin rõ ràng để có thể phân phối bởi hệ thống thư điện tử

Có thể muốn nội dung tin được bảo vệ và xác thực bởi người gửi

Sử dụng khoá đối xứng Using Symmetric Encryption Có thể làm tốt hơn ứng dụng của KDC nhưng không thể trao đổi nhãn cuối cùng: 1. A -> KDC: ID A || ID B || N 1 2 . KDC -> A: E Ka [Ks || ID B || N 1 || E Kb [ Ks || ID A ] ] 3. A -> B: E Kb [ Ks || ID A ] || E Ks [M] does not protect against replays Không bảo vệ chống trì hoãn được Có thể dựa trên tem thời gian trên mẳu tin, tuy nhiên trì hoãn email tạovẫn nên vấn đề đó

Có thể làm tốt hơn ứng dụng của KDC nhưng không thể trao đổi nhãn cuối cùng:

1. A -> KDC: ID A || ID B || N 1

2 . KDC -> A: E Ka [Ks || ID B || N 1 || E Kb [ Ks || ID A ] ]

3. A -> B: E Kb [ Ks || ID A ] || E Ks [M]

does not protect against replays

Không bảo vệ chống trì hoãn được

Có thể dựa trên tem thời gian trên mẳu tin, tuy nhiên trì hoãn email tạovẫn nên vấn đề đó

Sử dụng khoá công khai Public-Key Approaches Chúng ta đã thấy một số cách tiếp cận khoá công khai Nếu bảo mật là chính, có thể dùng: A -> B: E PUb [Ks] || E Ks [M] Mã được khoá kỳ và bản tin mã Nếu xác thực cần chữ ký điện tử với xác nhận điện tử: A -> B: M || E PRa [H(M)] || E PRas [T||ID A ||PU a ] với mẩu tin, chữ ký và xác nhận

Chúng ta đã thấy một số cách tiếp cận khoá công khai

Nếu bảo mật là chính, có thể dùng:

A -> B: E PUb [Ks] || E Ks [M]

Mã được khoá kỳ và bản tin mã

Nếu xác thực cần chữ ký điện tử với xác nhận điện tử:

A -> B: M || E PRa [H(M)] || E PRas [T||ID A ||PU a ]

với mẩu tin, chữ ký và xác nhận

Chuẩn chữ ký điện tử (DSS) Digital Signature Standard Chính phủ Mỹ ủng hộ sơ đồ chữ ký điện tử FIPS 186 Sử dụng thuật toán hash SHA công bố 1991, sửa 1996, 2000 DSS là chuẩn và DSA là thuật toán Có phương án cải biên Elgamal và Schnorr

Chính phủ Mỹ ủng hộ sơ đồ chữ ký điện tử FIPS 186

Sử dụng thuật toán hash SHA công bố 1991, sửa 1996, 2000

DSS là chuẩn và DSA là thuật toán

Có phương án cải biên Elgamal và Schnorr

Thuật toán chữ ký điện tử DSA Digital Signature Algorithm (DSA) Tạo 320 bit chữ ký Với lựa chọn 512-1024 bit an toàn hơn Nhỏ và nhanh hơn RSA Chỉ có sơ đồ chữ ký điện tử An toàn phụ thuộc vào độ khó của tính logarit rời rạc

Tạo 320 bit chữ ký

Với lựa chọn 512-1024 bit an toàn hơn

Nhỏ và nhanh hơn RSA

Chỉ có sơ đồ chữ ký điện tử

An toàn phụ thuộc vào độ khó của tính logarit rời rạc

Digital Signature Algorithm (DSA)

Sinh khoá DSA DSA Key Generation Chia sẻ giá trị khoá công khai tổng thể (p,q,g): số nguyên tố lớn p = 2 L ở đó L= 512 to 1024 bits và là bội của 64 chọn q là số nguyên tố 160 bit ước của p-1 chọn g = h (p-1)/q ở đó h<p-1, h (p-1)/q (mod p) > 1 Người sử dụng chọn khoá riêng và tính khoá công khai chọn x<q Tính y = g x (mod p)

Chia sẻ giá trị khoá công khai tổng thể (p,q,g):

số nguyên tố lớn p = 2 L

ở đó L= 512 to 1024 bits và là bội của 64

chọn q là số nguyên tố 160 bit ước của p-1

chọn g = h (p-1)/q

ở đó h<p-1, h (p-1)/q (mod p) > 1

Người sử dụng chọn khoá riêng và tính khoá công khai

chọn x<q

Tính y = g x (mod p)

Tạo chữ ký DSA DSA Signature Creation Để ký mẩu tin M người gửi cần Sinh khoá chữ ký ngẫu nhiên k: k < p, k phải là số ngẫu nhiên, được xoá sau khi dùng và không bao giờ dùng lại Sau đó tính cặp chữ ký : r = (g k (mod p))(mod q) s = (k -1 (H(M)+ x.r))(mod q) Gửi cặp chữ ký (r, s) cùng với bản tin M

Để ký mẩu tin M người gửi cần

Sinh khoá chữ ký ngẫu nhiên k: k < p,

k phải là số ngẫu nhiên, được xoá sau khi dùng và không bao giờ dùng lại

Sau đó tính cặp chữ ký :

r = (g k (mod p))(mod q)

s = (k -1 (H(M)+ x.r))(mod q)

Gửi cặp chữ ký (r, s) cùng với bản tin M

Kiểm chứng chữ ký DSA DSA Signature Verification Nhận được bản tin M cùng với chữ ký (r, s) Để kiểm chứng chữ ký người nhận cần tính: w = s -1 (mod q) u1= (H(M).w)(mod q) u2= (r.w)(mod q) v = (g u1 .y u2 (mod p)) (mod q) Nếu v = r thì chữ ký đã được kiểm chứng

Nhận được bản tin M cùng với chữ ký (r, s)

Để kiểm chứng chữ ký người nhận cần tính:

w = s -1 (mod q)

u1= (H(M).w)(mod q)

u2= (r.w)(mod q)

v = (g u1 .y u2 (mod p)) (mod q)

Nếu v = r thì chữ ký đã được kiểm chứng

Summary have discussed: digital signatures authentication protocols (mutual & one-way) digital signature algorithm and standard

have discussed:

digital signatures

authentication protocols (mutual & one-way)

digital signature algorithm and standard