Lab security+ Bài 11: SSL

02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477

E-mail: [email protected] – URL: WWW.ATHENA.EDU.VN

Tài liệu hướng dẫn thực tập Security+ , Trung tâm đào tạo An Ninh Mạng ATHENA 81

Bài 11: SSL

(Secure Sockets Layer)

1. ỨNG DỤNG SSL

MỘT SỐ KHÁI NIÊM:

SSL LÀ GÌ?

SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa

hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá

toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch

điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên

Internet. Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi

nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành

chuẩn bảo mật thực hành trên mạng Internet. Phiên bản SSL hiện nay là 3.0 và

vẫn đang tiếp tục được bổ sung và hoàn thiện. Tương tự như SSL, một giao

thức khác có tên là PCT - Private Communication Technology được đề xướng

bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các mạng máy tính

chạy trên hệ điều hành Windows NT. Ngoài ra, một chuẩn của IETF (Internet

Engineering Task Force) có tên là TLS (Transport Layer Security) dựa trên

SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF

Internet Draft được tích hợp và hỗ trợ trong sản phẩm của Netscape.

TCP/IP Layer Protocol

Application Layer HTTP, Telnet, FTP,...

Secure Socket Layer SSL

Transport Layer TCP

Internet Layer IP

SSL và TCP/IP




GIAO THỨC SSL LÀM VIỆC NHƯ THẾ NÀO?

Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm

bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai

ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do

đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường

Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng

trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key)

được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí

mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn

đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA)

thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công

khai (thí dụ RSA). Sau đây ta xem xét một cách khái quát cơ chế hoạt động của

SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng

dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử...

Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay”

(handshake protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt

tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi

thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến

hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng

máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau,

máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các thông điệp

cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các

chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng

dụng. Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên”

(session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách

(trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của

ứng dụng chủ (web server).




Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan

trung gian (là CA -Certificate Authority) như RSA Data Sercurity hay

VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức

này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành

chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho

các giao dịch trên mạng, ở đây là các máy chủ webserver.

Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật

mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các

thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ

có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá chính

(master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá

luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ

bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) số

nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật

toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử

dụng cho lược đồ mã hoá thông tin.

Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm

(phiên bản 3.0):

1. DES - chuẩn mã hoá dữ liệu (ra đời năm 1977), phát minh và sử

dụng của chính phủ Mỹ

2. DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh

và sử dụng của chính phủ Mỹ

3. KEA - thuật toán trao đổi khoá), phát minh và sử dụng của chính

phủ Mỹ

4. MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh bởi

Rivest;




5. RC2, RC4 - mã hoá Rivest, phát triển bởi công ty RSA Data

Security;

6. RSA - thuật toán khoá công khai, cho mã hoá va xác thực, phát triển

bởi Rivest, Shamir và Adleman;

7. RSA key exchange - thuật toán trao đổi khoá cho SSL dựa trên thuật

toán RSA;

8. SHA-1 - thuật toán hàm băm an toàn, phát triển và sử dụng bởi

chính phủ Mỹ

9. SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện

trong phần cứng Fortezza, sử dụng bởi chính phủ Mỹ

10. Triple-DES - mã hoá DES ba lần.

Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảo

mật bên trên hiện nay là phổ biến rộng rãi và công khai, trừ các giải pháp thực

hiện trong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng,

phần dẻo, phần mềm).

GIAO THỨC SSL

SSL Message

Các bước thực hiện để thiết lập kết nối SSL giữa client và server:

1. Khi browser muốn thiết lập một kết nối SSL với server thì gởi một

URL bắt đầu bằng https thay vì http.

2. Browser sẽ tự động gởi đến server một số thông tin cần thiết để tạo

kết nối SSL với server như phiên bản SSL, bộ mã ….




3. Server sẽ tự động trả lời bằng cách gởi cho browser một digital

certificate của site cùng với một số thông tin như phiên bản SSL sử

dụng, bộ mã….

4. Browser sẽ kiểm tra thông tin chứa trong certificate của server :

a. Thời gian sử dụng của certificate.

b. CA đã ký vào certificate có được tin cậy hay không.

c. Kiểm tra public key của CA đã tạo ra chữ ký điện tử.

d. Kiểm tra domain name của certificate server có trùng với

domain name của server không.

5. Nếu việc định danh server thành công thì borwser sẽ phát sinh ra

một khoá duy nhất gọi là “session key” để mã hoá tất cả giao tiếp sau

này.

6. Browser mã hoá session key bằng public key của server và gởi đến

cho server.

7. Server giải mã dữ liệu nhận được bằng private key (lúc này thì chỉ

có client và server biết session key)

8. Browser gởi một thông điệp đến server để thông báo những thông

điệp sau này sẽ được mã hoá bằng session key.

9. Sever gởi một thông điệp đến client để thông báo những thông điệp

sau này sẽ được mã hoá bằng session key.

10. Phiên làm việc SSL được thành lập, SSL sẽ sử dụng phương pháp

mã hoá secret key để mã hoá và giải mã dữ liệu trong qúa trình giao tiếp.

11. Khi phiên làm việc kết thúc thì session key bị huỷ bỏ.

Kiến trúc phân tầng SSL




Kiến trúc phân tầng SSL/TCP

Quá trình bắt tay của SSL sử dụng ba giao thức:

SSL Handshake protocol: xác định một phiên làm việc ( thống nhất

session key, ...)

SSL Chage Cipher Spec: thống nhất giải thuật mã hoádùng trong

phiên làm việc.

SSL Alert Protocol: thông báo lổi.

Dữ liệu, lệnh của các giao thức này được đóng gói và truyền xuống lớp

SSL Record Protocol. SSL Record Protocol được truyền xuống lớp dưới

TCP, IP.

Dữ liệu được phân mảnh, mã hoá, tính digest và truyền xuống cho lớp

TCP để gởi đi.

Độ tin cậy của SSL: SSL 40bit và SSL 128 bit

SSL cung cấp hai mức độ tin cậy: 40 bit và 128 bit. SSL 128 bit và SSL

40 bit ý nói độ dài của session key dùng để mã hoá dữ liệu sau khi đã định

danh và thiết lập session key bằng giải thuật public key (RSA hoặc Dellfi-




Hellman). Độ dài của khoá session key càng lớn thì độ bảo mật càng tăng.

Hiện nay SSL 128 bit có độ tin cậy lớn nhất. Theo RSA phải mất hằng tỉ

năm mới có thể giải mã được bằng các kỷ thuật hiện nay.

Các transactions sử dụng SSL 40bit hoặc 128 bit tuỳ thuộc vào khả năng

của từng browser.

Để có được SSL Certificate 128bit thì ta phải tạo private key 1024 bit.

Hoạt động của SSL 2.0

Kết nối từ client đến server được thực hiện bằng giao thức HTTPS

(HTTP+SSL).

Server ký khoá công khai (public key) bằng khoá bí mật (private key)

của mình và gửi cho client.

Client dùng khoá công khai của server để xác nhận đúng server đang

liên lạc.

Client kiểm tra xem có CA nào đã ký vào khoá. Nếu không client sẽ hỏi

người dùng xem có nên tin tưởng vào server không.

Client sinh ra một khoá bất đối xứng (asymmetric key) cho phiên giao

dịch, khoá này được mã hoá bằng khoá công khai của máy chủ và gửi

ngược lại. Khoá này cũng sẽ được dùng để mã hoá tất cả các thông tin

sau này.

SSL 3.0 bổ sung thêm cho SSL 2.0 bằng cách hỗ trợ cho chứng thực

máy khách (client certificate), giúp server có thể nhận diện ngược lại client.

SSL 3.0 hoạt động như SSL 2.0 , nhưng sau khi client đã xác thực server, đến

lượt server sẽ kiểm tra ngược lại client.

4.1. Cấu hình SSL




Click Start Programs Administrative Tools Click Internet

Information Services ( IIS ). Click phải vào website cần thiết lập SSL Click

Properties

Click Directory Security Tab Click Server Certifcate…




Màn hình Welcome to the Web Server Certificate Wizard xuất hiện,Click Next




Trên trang Server Certificate Chọn Create a new Certificate ,sau đó Click

Next

Note: Tại đây bạn có thể Import Certificate có sẵn thì bạn phải làm các bước

sau:

Click Import certificate from a.pfx file Click Next




Trong màn hình Import Certificate, Click Browser… đến nơi chứa Certificate

đó,sau đó Click Next

Và nhập Password Click Next và tiếp tục bước




Trong Delayed or Immediate Request Click Prepare the request now, but send

it later




Màn hình Name and Security Setting

Name :Web test. Sau đó Click Next

Hoàn thành các thông số sau :

Organization : athena

Organizational unit : vt04c1

Click Next




Trên màn hình Your Site’s Common Name nhập Domain Name của mình:

www.vt04c1.com

Trên Geographical Information Page nhập các thông số sau:

Country/Region : VietNam

State/Province : vn

City/locality : hcm

Click Next




Trên Certificate Request File Name Click Browser… chọn đường dẫn nơi lưu

trữ mặc định là: \certreq.txt. Click Next

Click Next




Click Finish hoàn thành quá trình Configuration SSL




Tạo request

Trên Web Server ta sẽ tạo Request đến CA Server

Mở trình duyệt Web Internet Expolorer

Click Request a Certifcate

Click Advance Certificate Request




Click Submit a Certfiate request by using a base ……….

Sau đó mở file C:\certreq.txt




Copy nội dung của file certreq.txt và dán nó vào trong Request Box

Click Certifiate Template List Click Web Server Click Submit

Sau khi CA server xác nhận và đồng ý cấp Certificate, từ Client vào lại

26.0.0.2/certsrv View the status of a pending certificate request Saved-

Request Certificate (Tuesday August 29 2006 5:42:02 PM) Chọn DER

encoded Click Download Certificate

http://26.0.0.2/certsrv/certckpn.asp




Click Save về máy Web Server

4.3. Import Certificate vào Web server




Double Click File certnew.cer vừa Download.

Click Install Certificate…

Click Next




Click Next

Click Finish hoàn thành quá trình Import Certificate Web Server




Certificate Request chưa được giải quyết

Trở lại với IIS trên Client ,nhấp chuột phải vào website cần thiết lập SSL

Properties Directory security Server Certificate Next

Chọn Process the Pending request and install the certificate Click Next




Click Browser…đến file certnew.cer Click Next

Trên SSL port Page nhập Port 443 Click Next




Click Next tiếp tục quá trình đăng ký

Click Finish để hoàn thành




4.5. User Log on vào Web SSL

Mở trình duyệt Web Internet Explorer

Trên thanh Address nhập : https://26.0.0.3










Self Improvement

Lab security+ Bài 11: SSL