Mã khoá công khai trong mạng riêng ảo (PKI và VPN)

Hiện nay nhiều mạng riêng ảo (VPN) đang thể hiện sự hạn chế bởi chính hệ thống bảo mật quá đơn giản. Trong bài này chúng ta sẽ bàn đến một số sửa đổi cần thiết để có thể đáp ứng yêu cầu phát triển một mạng riêng ảo lớn và có tính bảo mật cao. Đa số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mã khoá công khai (PKI). Các điểm kết cuối của các mạng VPN này (các cổng bảo mật hoặc các máy...
Nội dung trích xuất từ tài liệu:
Mã khoá công khai trong mạng riêng ảo (PKI và VPN) Mã khoá công khai trong mạng riêng ảo (PKI và VPN)Hiện nay nhiều mạng riêng ảo (VPN) đang thể hiện sự hạn chế bởi chính hệ thốngbảo mật quá đơn giản. Trong bài này chúng ta sẽ bàn đến một số sửa đổi cần thiếtđể có thể đáp ứng yêu cầu phát triển một mạng riêng ảo lớn và có tính bảo mậtcao. Đa số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗtrợ của cơ sở hạ tầng mã khoá công khai (PKI). Các điểm kết cuối của các mạngVPN này (các cổng bảo mật hoặc các máy khách) nhận thực lẫn nhau thông quathiết lập các đường ngầm IP. Một cách đơn giản nhất, điều đó có thể thực hiệnđược thông qua việc thiết đặt cầu hình tại cả hai đầu của đường ngầm VPN cùngchia sẻ một bí mật chung - một cặp mật khẩu (password). Phương pháp giải quyếtthô sơ này có thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồngkềnh, khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tớihàng trǎm, thậm chí hàng ngàn điểm. Hãy so sánh với một câu lạc bộ nhỏ, ở đómọi người đều biết nhau vì số lượng người ít và hầu như họ đã quen biết nhau từtrước. Không có gì khó khǎn trong việc ghi nhớ tên và nhận dạng của các thànhviên trong một nhóm nhỏ. Nhưng với một câu lạc bộ có hàng trǎm thành viên thìchắc chắn cần phải có thẻ hội viên. Các thành viên mới có thể chứng minh họ là aikhi họ xuất trình thẻ hội viên. Với hạ tầng như vậy, hai người hoàn toàn khôngquen biết có thể nhận dạng và tin cậy nhau đơn giản là vì họ tin vào thẻ hội viêncủa nhau. Tương tự như vậy, hai đầu cuối VPN có thể nhận thực nhau thông quagiấy chứng nhận điện tử - Một loại thẻ hội viên điện tử không thể thiếu trong cácmạng VPN lớn. Vậy tại sao hiện nay không phải mạng VPN lớn nào cũng sử dụngchứng nhận điện tử? Bởi vì việc triển khai mạng lớn không chỉ đòi hỏi chứng nhậnđiện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm: khối cung cấpchứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cáchthức truy xuất dễ dàng để xác nhận tính hợp lệ. Nói một cách ngắn gọn, đó chínhlà cơ sở hạ tầng mã khoá công khai - PKI. Khoá công khai là gì và tác dụng? Đểhiểu được yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơlược về khoá mật mã công khai. Hệ thống này xây dựng trên cơ sở một cặp khoámã có liên hệ toán học với nhau trong đó một khoá sử dụng để mã hoá thông điệpvà chỉ có khoá kia mới giải mã được thông điệp và ngược lại. Khi đó chúng ta cóthể công khai hoá một khoá trong cặp khoá này. Nếu ai cần gửi cho chúng ta cácthông điệp bảo đảm, họ sẽ có thể sử dụng khoá đã được cung cấp công khai này đểmã hoá thông điệp trước khi gửi đi và bởi vì chúng ta đã giữ bí mật khoá mã cònlại nên chỉ chúng ta mới có thể giải mã được thông điệp bảo đảm đó. Cặp khoá nàycòn dùng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mã bǎm (hash) củathông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán(ví dụ như MD5, SHA-1 ...). Người gửi sẽ mã hoá đoạn mã bǎm bằng khoá riêngcủa mình và người nhận sẽ dùng khoá công khai của người gửi để giải đoạn mãbǎm của người gửi, sau đó so sánh với đoạn mã bǎm của thông điệp nhận được(được tạo bằng cùng một thuật toán). Nếu trùng nhau thì người nhận có thể tinrằng thông điệp nhận được không bị thay đổi trong quá trình truyền tải trên mạngvà xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ ký điện tử.Nhưng cần nhắc lại là chúng ta yêu cầu không chỉ chữ ký - chúng ta cần một thẻhội viên điện tử. Chính vì thế mà xuất hiện khái niệm giấy chứng nhận điện tử.Một chứng nhận điện tử gắn tên của hội viên hay thiết bị với một cặp khoá, tươngtự như thẻ hội viên gắn tên của hội viên với chữ ký và ảnh của họ. Để đảm bảogiấy chứng nhận là hợp lệ, chúng ta thường yêu cầu giấy chứng nhận phải đượccấp do một tổ chức tin cậy. Đối với giấy chứng nhận điện tử, tổ chức này được gọilà hệ thống cung cấp chứng nhận (CA-Certification Authority) Các mạng VPN sửdụng chứng nhận điện tử như thế nào? Khi đường ngầm IP đã được khởi tạo, cácđiểm kết cuối sẽ nhận thực lẫn nhau thông qua chứng nhận điện tử. Ví dụ cổng bảomật X sẽ tự chứng nhận và ký (điện tử) thông điệp bằng khoá mã riêng của nó.Cổng bảo mật Y sẽ nhận chúng nhận điện tử của X và sử dụng khoá công khai củaX để kiểm tra chữ ký điện tử. Nếu đúng thì cổng bảo mật X được xác nhận vì chữký điện tử chỉ có thể được tạo ra bằng khoá mã riêng được gắn liền với chứngnhận điện tử của X. Tại sao giấy chứng nhận điện tử lại có tính mở rộng hơn kiểuchia sẻ khoá bảo mật chung? Rõ ràng chúng ta không còn cần phải cung cấpnhững cặp mã khoá chia sẻ cho mỗi cặp thiết bị VPN. Mỗi thiết bị VPN chỉ cầnmột giấy chứng nhận điện tử. Và chúng ta cũng không cần phải thiết lập lại cấuhình của tất cả các điểm đã có của VPN mỗi khi chúng ta mở thêm một điểm mới.Thay vào đó, chúng ta có thể chứng nhận cho mỗi thiết bị thông qua hệ thống thưmục công cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta có t ...