Lab security+ Bài 11: SSL

02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 3824 4041 – 090 78 79 477
E-mail: training@athenavn.com – URL: WWW.ATHENA.EDU.VN
Tài liệu hướng dẫn thực tập Security+ , Trung tâm đào tạo An Ninh Mạng ATHENA 81
Bài 11: SSL
(Secure Sockets Layer)
1. ỨNG DỤNG SSL
MỘT SỐ KHÁI NIÊM:
SSL LÀ GÌ?
SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa
hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá
toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch
điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên
Internet. Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi
nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành
chuẩn bảo mật thực hành trên mạng Internet. Phiên bản SSL hiện nay là 3.0 và
vẫn đang tiếp tục được bổ sung và hoàn thiện. Tương tự như SSL, một giao
thức khác có tên là PCT - Private Communication Technology được đề xướng
bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các mạng máy tính
chạy trên hệ điều hành Windows NT. Ngoài ra, một chuẩn của IETF (Internet
Engineering Task Force) có tên là TLS (Transport Layer Security) dựa trên
SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF
Internet Draft được tích hợp và hỗ trợ trong sản phẩm của Netscape.
TCP/IP Layer Protocol
Application Layer HTTP, Telnet, FTP,...
Secure Socket Layer SSL
Transport Layer TCP
Internet Layer IP
SSL và TCP/IP

GIAO THỨC SSL LÀM VIỆC NHƯ THẾ NÀO?
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm
bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai
ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do
đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường
Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng
trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key)
được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí
mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn
đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA)
thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công
khai (thí dụ RSA). Sau đây ta xem xét một cách khái quát cơ chế hoạt động của
SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng
dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử...
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay”
(handshake protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt
tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi
thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến
hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng
máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau,
máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các thông điệp
cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các
chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng
dụng. Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên”
(session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách
(trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của
ứng dụng chủ (web server).

Chứng thực điện tử thường được xác nhận rộng rãi bởi một cơ quan
trung gian (là CA -Certificate Authority) như RSA Data Sercurity hay
VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức
này cung cấp dịch vụ “xác nhận” số nhận dạng của một công ty và phát hành
chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho
các giao dịch trên mạng, ở đây là các máy chủ webserver.
Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật
mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các
thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ
có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá chính
(master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá
luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ
bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) số
nhận dạng theo phiên làm việc ngẫu nhiên; (ii) cấp độ bảo mật của các thuật
toán bảo mật áp dụng cho SSL; và (iii) độ dài của khoá chính (key length) sử
dụng cho lược đồ mã hoá thông tin.
Các thuật toán mã hoá và xác thực của SSL được sử dụng bao gồm
(phiên bản 3.0):
1. DES - chuẩn mã hoá dữ liệu (ra đời năm 1977), phát minh và sử
dụng của chính phủ Mỹ
2. DSA - thuật toán chữ ký điện tử, chuẩn xác thực điện tử), phát minh
và sử dụng của chính phủ Mỹ
3. KEA - thuật toán trao đổi khoá), phát minh và sử dụng của chính
phủ Mỹ
4. MD5 - thuật toán tạo giá trị “băm” (message digest), phát minh bởi
Rivest;

5. RC2, RC4 - mã hoá Rivest, phát triển bởi công ty RSA Data
Security;
6. RSA - thuật toán khoá công khai, cho mã hoá va xác thực, phát triển
bởi Rivest, Shamir và Adleman;
7. RSA key exchange - thuật toán trao đổi khoá cho SSL dựa trên thuật
toán RSA;
8. SHA-1 - thuật toán hàm băm an toàn, phát triển và sử dụng bởi
chính phủ Mỹ
9. SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện
trong phần cứng Fortezza, sử dụng bởi chính phủ Mỹ
10.Triple-DES - mã hoá DES ba lần.
Cơ sở lý thuyết và cơ chế hoạt động của các thuật toán sử dụng về bảo
mật bên trên hiện nay là phổ biến rộng rãi và công khai, trừ các giải pháp thực
hiện trong ứng dụng thực hành vào trong các sản phẩm bảo mật (phần cứng,
phần dẻo, phần mềm).
GIAO THỨC SSL
SSL Message
Các bước thực hiện để thiết lập kết nối SSL giữa client và server:
1. Khi browser muốn thiết lập một kết nối SSL với server thì gởi một
URL bắt đầu bằng https thay vì http.
2. Browser sẽ tự động gởi đến server một số thông tin cần thiết để tạo
kết nối SSL với server như phiên bản SSL, bộ mã ….

3. Server sẽ tự động trả lời bằng cách gởi cho browser một digital
certificate của site cùng với một số thông tin như phiên bản SSL sử
dụng, bộ mã….
4. Browser sẽ kiểm tra thông tin chứa trong certificate của server :
a. Thời gian sử dụng của certificate.
b. CA đã ký vào certificate có được tin cậy hay không.
c. Kiểm tra public key của CA đã tạo ra chữ ký điện tử.
d. Kiểm tra domain name của certificate server có trùng với
domain name của server không.
5. Nếu việc định danh server thành công thì borwser sẽ phát sinh ra
một khoá duy nhất gọi là “session key” để mã hoá tất cả giao tiếp sau
này.
6. Browser mã hoá session key bằng public key của server và gởi đến
cho server.
7. Server giải mã dữ liệu nhận được bằng private key (lúc này thì chỉ
có client và server biết session key)
8. Browser gởi một thông điệp đến server để thông báo những thông
điệp sau này sẽ được mã hoá bằng session key.
9. Sever gởi một thông điệp đến client để thông báo những thông điệp
sau này sẽ được mã hoá bằng session key.
10. Phiên làm việc SSL được thành lập, SSL sẽ sử dụng phương pháp
mã hoá secret key để mã hoá và giải mã dữ liệu trong qúa trình giao tiếp.
11. Khi phiên làm việc kết thúc thì session key bị huỷ bỏ.
Kiến trúc phân tầng SSL

Kiến trúc phân tầng SSL/TCP
Quá trình bắt tay của SSL sử dụng ba giao thức:
 SSL Handshake protocol: xác định một phiên làm việc ( thống nhất
session key, ...)
 SSL Chage Cipher Spec: thống nhất giải thuật mã hoádùng trong
phiên làm việc.
 SSL Alert Protocol: thông báo lổi.
Dữ liệu, lệnh của các giao thức này được đóng gói và truyền xuống lớp
SSL Record Protocol. SSL Record Protocol được truyền xuống lớp dưới
TCP, IP.
Dữ liệu được phân mảnh, mã hoá, tính digest và truyền xuống cho lớp
TCP để gởi đi.
Độ tin cậy của SSL: SSL 40bit và SSL 128 bit
SSL cung cấp hai mức độ tin cậy: 40 bit và 128 bit. SSL 128 bit và SSL
40 bit ý nói độ dài của session key dùng để mã hoá dữ liệu sau khi đã định
danh và thiết lập session key bằng giải thuật public key (RSA hoặc Dellfi-

Hellman). Độ dài của khoá session key càng lớn thì độ bảo mật càng tăng.
Hiện nay SSL 128 bit có độ tin cậy lớn nhất. Theo RSA phải mất hằng tỉ
năm mới có thể giải mã được bằng các kỷ thuật hiện nay.
Các transactions sử dụng SSL 40bit hoặc 128 bit tuỳ thuộc vào khả năng
của từng browser.
Để có được SSL Certificate 128bit thì ta phải tạo private key 1024 bit.
Hoạt động của SSL 2.0
 Kết nối từ client đến server được thực hiện bằng giao thức HTTPS
(HTTP+SSL).
 Server ký khoá công khai (public key) bằng khoá bí mật (private key)
của mình và gửi cho client.
 Client dùng khoá công khai của server để xác nhận đúng server đang
liên lạc.
 Client kiểm tra xem có CA nào đã ký vào khoá. Nếu không client sẽ hỏi
người dùng xem có nên tin tưởng vào server không.
 Client sinh ra một khoá bất đối xứng (asymmetric key) cho phiên giao
dịch, khoá này được mã hoá bằng khoá công khai của máy chủ và gửi
ngược lại. Khoá này cũng sẽ được dùng để mã hoá tất cả các thông tin
sau này.
SSL 3.0 bổ sung thêm cho SSL 2.0 bằng cách hỗ trợ cho chứng thực
máy khách (client certificate), giúp server có thể nhận diện ngược lại client.
SSL 3.0 hoạt động như SSL 2.0 , nhưng sau khi client đã xác thực server, đến
lượt server sẽ kiểm tra ngược lại client.
4.1. Cấu hình SSL

Click  Start  Programs  Administrative Tools Click Internet
Information Services ( IIS ). Click phải vào website cần thiết lập SSL  Click
Properties
Click Directory Security Tab  Click Server Certifcate…

Màn hình Welcome to the Web Server Certificate Wizard xuất hiện,Click Next

Trên trang Server Certificate  Chọn Create a new Certificate ,sau đó Click
Next
Note: Tại đây bạn có thể Import Certificate có sẵn thì bạn phải làm các bước
sau:
Click Import certificate from a.pfx file  Click Next

Trong màn hình Import Certificate, Click Browser… đến nơi chứa Certificate
đó,sau đó Click Next
Và nhập Password  Click Next và tiếp tục bước

Trong Delayed or Immediate Request Click Prepare the request now, but send
it later

Màn hình Name and Security Setting
Name :Web test. Sau đó Click Next
Hoàn thành các thông số sau :
Organization : athena
Organizational unit : vt04c1
Click Next

Trên màn hình Your Site’s Common Name nhập Domain Name của mình:
www.vt04c1.com
Trên Geographical Information Page nhập các thông số sau:
Country/Region : VietNam
State/Province : vn
City/locality : hcm
Click Next

Trên Certificate Request File Name Click Browser… chọn đường dẫn nơi lưu
trữ mặc định là: certreq.txt. Click Next
Click Next

Click Finish hoàn thành quá trình Configuration SSL

Tạo request
Trên Web Server ta sẽ tạo Request đến CA Server
Mở trình duyệt Web Internet Expolorer
Click Request a Certifcate
Click Advance Certificate Request

Click Submit a Certfiate request by using a base ……….
Sau đó mở file C:certreq.txt

Copy nội dung của file certreq.txt và dán nó vào trong Request Box
Click Certifiate Template List  Click Web Server  Click Submit
Sau khi CA server xác nhận và đồng ý cấp Certificate, từ Client vào lại
26.0.0.2/certsrv  View the status of a pending certificate request  Saved-
Request Certificate (Tuesday August 29 2006 5:42:02 PM)  Chọn DER
encoded  Click Download Certificate

Click Save về máy Web Server
4.3. Import Certificate vào Web server

Double Click File certnew.cer vừa Download.
Click Install Certificate…
Click Next

Click Next
Click Finish hoàn thành quá trình Import Certificate Web Server

Certificate Request chưa được giải quyết
Trở lại với IIS trên Client ,nhấp chuột phải vào website cần thiết lập SSL 
Properties  Directory security  Server Certificate  Next
Chọn Process the Pending request and install the certificate  Click Next

Click Browser…đến file certnew.cer  Click Next
Trên SSL port Page nhập Port 443  Click Next

Click Next tiếp tục quá trình đăng ký
Click Finish để hoàn thành

4.5. User Log on vào Web SSL
Mở trình duyệt Web Internet Explorer
Trên thanh Address nhập : https://26.0.0.3

Lab security+ Bài 11: SSL

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (14)

Similar a Lab security+ Bài 11: SSL

Similar a Lab security+ Bài 11: SSL (20)

Más de xeroxk

Más de xeroxk (20)

Lab security+ Bài 11: SSL