Xây dựng hạ tầng PKI trên nền Windows Server 2008 – Phần 4.1


Xem thêm:
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 3
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 4.2
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 5
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.1
Xây dựng hạ tầng khóa công khai (PKI) trên nền Windows Server 2008 – Phần 6.2

————-

Phần 4 – Thu thập các thông tin cần thiết

Quá trình thu thập thông tin này sẽ giúp việc thiết kế hệ thống CA được phù hợp và chính xác. Các dữ liệu cần thu thập gồm:

  • Các ứng dụng hỗ trợ PKI
  • Các đối tượng cần tới chứng chỉ
  • Các yêu cầu an ninh
  • Các yêu cầu về kỹ thuật
  • Các yêu cầu về kinh doanh
  • Các yêu cầu đối với bên ngoài

Nhận diện các ứng dụng hỗ trợ PKI

Các ứng dụng và công nghệ sau có thể khiến tổ chức cần thiết triển khai một hạ tầng PKI là:

  • 802.1X: là cơ chế xác thực dựa trên cổng truy cập mạng (port) để chỉ cho phép người dùng và máy tính đã được xác thực truy cập vào mạng không dây chuẩn 802.11 (WLAN) hoặc mạng LAN chuẩn Ethernet.
  • Chữ ký số: các chứng chỉ có thể được dùng cho mục đích tạo chữ ký số.
  • EFS: giúp mã hóa dữ liệu sử dụng kế hợp mã hóa đối xứng và bất đối xứng.
  • Xác thực và mã hóa cho môi trường Web: cung cấp chứng chỉ SSL cho máy chủ Web để giúp máy khách xác minh nhận dạng của máy chủ Web cũng như mã hóa toàn bộ dữ liệu được gửi qua lại giữa chúng. Ngoài ra, cũng có loại chứng chỉ là client authentication certificate cho phép máy khách gửi tới máy chủ Web chứng chỉ của nó như là một hình thức xác thực.
  • IPSec: các chứng chỉ còn có thể được dùng để hai điểm đầu cuối trên một kênh truyền thông qua IPSec xác thực lẫn nhau. Sau khi được xác thực, chúng sẽ sử dụng IPSec để mã hóa và ký số cho tất cả các thông điệp gửi cho nhau còn bản thân các chứng chỉ không làm hai chức năng này.
  • Bảo vệ e-mail: sử dụng chứng chỉ để xác minh nhận dạng của người gửi, nguồn gốc và tính toàn vẹn của thông điệp và sử dụng mã hóa để đảm báo tính bí mật cho thông điệp.
  • Đăng nhập bằng thẻ thông minh: giúp nâng cao an ninh bằng cách sử dụng phương thức xác thực hai yếu tố. Để đăng nhập vào hệ thống, người dùng phải có thẻ thông minh chứa chứng chỉ số để nhận dạng họ và biết được mã số PIN của thẻ đó.
  • Ký số cho mã chương trình: giúp bảo vệ máy tính trước nguy cơ cài đặt các phần mềm và trình điều khiển thiết bị không rõ nguồn gốc, trái phép.
  • Mạng riêng ảo: VPN cho phép người dùng ở xa kết nối vào mạng nội bộ qua các giao thức đường hầm như PPTP (Point-to-Point Protocol), L2TP (Layer 2 Tunneling Protocol), hoặc SSTP (Secure Socket Tunneling Protocol). Có thể sử dụng chứng chỉ để xác thực người dùng và cả máy tính nếu IPSec được dùng kết hợp với L2TP.

Nhận diện các đối tượng nhận chứng chỉ

Thường chứng chỉ được cấp phát cho các chủ thể sau:

  • Người dùng: các ứng dụng hỗ trợ PKI có thể nhận diện người dùng nhờ chứng chỉ được cấp cho họ. Người dùng có thể được cấp duy nhất một chứng chỉ mà tất cả các ứng dụng đều hỗ trợ hoặc chỉ nhận các chứng chỉ riêng biệt cho từng ứng dụng như chứng chỉ mã hóa EFS chỉ được dùng cho mục đích mã hóa tập tin trong Windows. Chứng chỉ cho người dùng được lưu trong khoa chứa chứng chỉ Current User.
  • Máy tính: người dùng hoặc máy tính có thể nhận dạng một máy tính khác nhờ chứng chỉ được cấp cho nó. Chứng chỉ cho máy tính được lưu trong kho chứa chứng chỉ Local Machine.
  • Thiết bị mạng: chứng chỉ có thể được cài đặt lên các thiết bị mạng như VPN, firewall, router cho mục đích xác thực máy khách hoặc máy chủ.
  • Dịch vụ: một vài dịch vụ cần tới chứng chỉ của máy tính cho việc xác thực hoặc mã hóa. Chứng chỉ không thực sự được cấp cho dịch vụ mà thay vào đó, chứng chỉ được lưu trong kho chứa Local Machine hoặc trong hồ sơ của người dùng. Ví dụ, chứng chỉ cho dịch vụ WWW của máy chủ Web sẽ được lưu trong kho chứa Local Machine, còn chứng chỉ EFS Recovery Agent cho dịch vụ EFS thì được lưu trong hồ sơ người dùng. Cách dễ nhất để xác định vị trí lưu chứng chỉ cho một dịch vụ là điều tra xem tài khoản nào mà dịch vụ sử dụng để xác thực. Nếu dịch vụ sử dụng tài khoản hệ thống như Local System thì chứng chỉ phải được lưu trong kho chứa Local Machine. Nếu dịch vụ sử dụng tài khoản người dùng thông thường (có mật khẩu) thì chứng chỉ phải được lưu trong hồ sơ của người dùng đó.

Xác định các yêu cầu về an ninh

Mỗi tổ chức nên có một chính sách định nghĩa các tiêu chuẩn an ninh cho toàn hệ thống, trong đó có các yêu cầu về an ninh khi thiết kế PKI. Dưới đây là một vài yêu cầu có thể có:

  • An toàn vật lý cho các offline CA: các Root CA trong mô hình hai tầng và Root CA với Policy CA trong mô hình ba tầng sẽ không được kết nối vào mạng và được đặt tại những vị trí địa lý được bảo vệ chặt chẽ bởi các cơ chế kiểm tra và giám sát truy cập như camera, ổ khóa, thẻ thông minh, v.v..
  • An toàn cho các online CA: ngoài các biện pháp đảm bảo an toàn vật lý như được áp dụng cho các offline CA thì các Issuing CA cũng cần được cấu hình sao cho bảo mật như chỉ cài đặt các thành phần cần thiết, dành riêng một máy tính làm Issuing CA thay vì cài đặt các chức năng khác như domain controller cho nó.
  • Bảo vệ khóa bí mật của CA: áp dụng tiêu chuẩn FIPS (Federal Information Processing Standards) 140-2 cho việc bảo vệ của khóa bí mật của CA. Mặc định, Microsoft CA triển khai dịch vụ mật mã (Cryptographic Service Provider – CSP) ở dạng phần mềm là Microsoft Strong Cryptographic Provider. Một CSP mềm lưu trữ khóa bí mật của CA trên đĩa cứng cục bộ của máy tính. Mặc dù các biện pháp an ninh vật lý có thể tăng cường bảo vệ cho khóa này nhưng cần biết rằng bất kỳ thành viên nào của group Local Administrators có thể xuất ra và sử dụng lại khóa bí mật này ở nơi khác.

CSP cũng định nghĩa cách thức khóa bí mật của chứng chỉ được bảo vệ và được truy cập. CSP sẽ quyết định nơi tạo và lưu cặp khóa của chứng chỉ và triển khai các cơ chế để bảo vệ việc truy cập tới khóa bí mật. Ví dụ, CSP có thể yêu cầu nhập vào mã PIN để truy cập tới khóa bí mật được lưu trong thẻ thông minh.

Hai biện pháp sau có thể giúp bảo vệ khóa bí mật tốt hơn:

  • Sử dụng thẻ thông minh: dùng để lưu khóa bí mật của CA trên các thiết bị xác thực hai yếu tố. Khi muốn truy cập tới khóa bí mật, người dùng phải nhập vào đúng mã PIN của thẻ thông minh.
  • Sử dụng mô-đun bảo mật phần cứng (Hardware Security Module – HSM): mô-đun này đem lại mức bảo vệ tốt nhất cho khóa bí mật của CA bằng cách lưu trữ khóa này trên một thiết bị phần cứng có độ bảo mật cao. HSM cung cấp thêm các biện pháp để bảo vệ khóa bí mật khỏi bị giả mạo và trong một số trường hợp sẽ phá hủy khóa bí mật nếu nó bị  tấn công.
  • Các điều kiện cấp phát khác nhau cho các chứng chỉ: một số chứng chỉ được cấp dựa trên xác minh mật khẩu và tài khoản người dùng còn một số khác lại được cấp chỉ khi nhận dạng của người dùng được xác minh thông qua việc trình diện ảnh chụp của họ.

..còn tiếp

–manthang

6 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s