|
|
tieuvuong_net wrote:
Em thấy có vài bài viết có link chưa bị vô hiệu hoá.
Cái này vs với Thông báo: về việc vô hiệu hoá tất cả các đường dẫn trên diễn đàn /hvaonline/posts/list/33990.html
Vd: /hvaonline/posts/list/35456.html
Cái link: http://jobspace.vn/jobseekers/searchjob/detail/jid/4860/_blank/
Em nhấn vào vẫn ngon
Em kiểm tra thấy link bạn tieuvuong_net vẫn có thể click vào được, không hiểu đây là lỗi hay do nguyên nhân khác.
Kính mong các bác kiểm tra và xử lý (nếu là lỗi).
Thân mến,
|
|
|
myquartz wrote:
Chỉ có các chuyên gia mạng, bảo mật thất nghiệp, rảnh việc, mới có thời gian đi dạy ngoài. Nói chung đứng nói hết giờ, viết hết bài mà ăn tiền buổi dạy thôi, chả tâm huyết lắm với sự nghiệp đào tạo trồng người đâu.
Em đọc các thảo luận của myquartz mà có liên quan đến NN thì thấy bác phê phán hơi nặng lời. Có thể bác có kinh nghiệm không hay với NN. Tuy nhiên, em nghĩ nếu bác đưa ra được các luận chứng có cơ sở chứng tỏ họ làm ăn bậy bạ, dạy dỗ không tốt thì sẽ thuyết phục hơn (mặc dù em đoán HVA forum không khuyến khích mấy nội dung kiểu đả kích phê phán như thế này - HVA forum là diễn đàn chuyên sâu về bảo mật - lời bác conmale).
Thân mến.
|
|
|
PXMMRF wrote:
Cài Windows (bất cứ Windows nào cũng vậy) cũng có thể chia ổ đĩa thành các phân vùng (partition) và cài HĐH vào một phân vùng lưa chọn. ( Nhấn phím C để create một partition mới và chọn dung lượng theo ý mình, hay phím D để delete partition hiện hữu...).
Bạn qvtran01 thử cài lại. Nếu không được có khi phải cài bổ sung một driver ngay trong quá trình cài đặt ( khi Windows nhắc người cài nhấn phím F6 để cài bổ sung một driver cần thiết...). Driver nào thì bạn tìm hiểu thêm (thí dụ như khi bạn cài Win 2K3 vào một hệ thống có lắp sẵn một card RAID, bạn nhất thiết phải cài bổ sung một driver trong quá trình cài Win vào hệ thống, thì Windows mới "đọc" đươc (hay "nhận" ra) các đĩa logic do RAID tạo ra)
Em nhớ nhầm . Đúng như anh PXMMRF nói, khi cài bình thường thì sẽ có tuỳ chọn tạo phần vùng (chỉ tạo được một phân vùng dùng để cài hđh, phần còn dư sau khi cài xong hđh có thể tạo phân vùng bằng tool disk management của Windows).
Em thử kiểm tra lại thì xét thấy trường hợp của bạn qvtran01 khả năng cao là do nguyên nhân:
- Khi khởi tạo máy ảo bạn ấy chọn tuỳ chọn Typical (đây là chế độ cài đặt theo kiểu easy - nó sẽ tự động bỏ qua các bước như là chọn disk, định dạng disk, điền serial,...)
- Để cài đặt bình thường như trên máy thực - có bước tạo phân vùng, bạn chọn chế độ Custom là được.
|
|
|
qvtran01 wrote:
Em đang muốn cài Win2k3 trên VMWare 6.5 để tiện cho việc học tập.Nhưng trong quá trình cài ,nó chạy thẳng tuốt,không phân chia được ổ đĩa,có bro nào biết cách khắc phục lỗi này giúp em với !
Cài Windows làm gì có tuỳ chọn chia ổ bạn. Chỉ có tuỳ chọn định dạng ổ, chọn ổ để cài đặt.
Bạn cài xong vẫn có thể chia được mà, tuy nhiên nếu dùng VMWare thì chia làm gì cho mệt, thay vào đó thì create cái disk mới cho tiện.
|
|
|
xuandien wrote:
Trước kia tôi tự tạo bản Ghost với quyền Admin và chỉ dùng bản Ghost này thôi.
giờ không thể vào xem các bức ảnh đó được.
Nguyên nhân lỗi là do bước bạn Ghost máy.
Khi bạn encrypt dữ liệu, Windows sẽ tự tạo certificate và private key để mỗi lần bạn giải mã nó sử dụng đến.
Bạn ghost lại máy vô tình đã xoá đi các thông tin này.
Việc cứu dữ liệu là hầu như không thể.
Bạn đọc thêm về EFS của Windows sẽ rõ.
|
|
|
hvthang wrote:
Các anh có thể mở những link nào bắt đầu bằng tên miền diễn đàn của mình được không ạ?
Ví dụ, một số bài viết có tham khảo đến link của các bài viết khác trên chính diễn đàn. Việc này em nghĩ nó không ảnh hưởng đến nội dung chính sách bảo mật liên quan đến link của diễn dàn HVA.
Anh conmale trả lời cho em câu hỏi này được không ạ?
|
|
|
Cái này do người post bài đó bạn, không phải do chính sách vô hiệu hoá link của diễn đàn.
Mình đoán ông này copy + paste ở đâu đó về chứ cũng chả phải do ổng tìm nên mới sinh ra thế.Bạn có thể hỏi Google để tìm link gốc của bài viết (đừng hỏi mình cách hỏi google nhé ).
|
|
|
minhanh112 wrote:
em tìm hiểu thì chỉ có chủ yếu nói về cấu hình ACS cisco...vậy là bây giờ mình bước đầu mình nói về khái quát về AAA rồi sau đó làm thiên về phần cấu hình ACS thôi à...nhưng khi em làm giả lập bằng GNS3 và dùng secure CRT3.2 để telnet vào cấu hình thì lại không được..em làm demo cấu hình bằng VMWARE vs GNS3..bác nào làm cái này rồi thì chỉ em với nhé..em cảm ơn
Với khoảng thời gian bạn có (tuần sau phải nạp, tuần này chưa có đề cương) thì bạn chỉ chỉ nên tập trung vào vấn để cụ thể, đơn giản thì sẽ thích hợp hơn.
Ví dụ:
1. Tổng quan về AAA
2. Lựa chọn ACS của Cisco để nghiên cứu cụ thể
3. Thử nghiệm
a. Xây dựng mô hình bằng GNS3 và Windows Server 2003 (đóng vai trò ACS (AAA server)
b. Thử nghiệm một số nội dung đơn giản, quan trọng là các thử nghiệm nói lên được ba cái chữ "A".
4. Kết luận, hướng phát triển.
Hết.
|
|
|
minhanh112 wrote:
chào các bác..hiện tại em đang làm đề tài về sử dụng AAA server để giám sát việc truy cập của thiết bị trong mạng mà em ko bik làm thế nào cả...cuối tuần sau em phải nộp rồi..bác nào biết giúp em vs nhé.em cảm ơn..các bác có thể cho em cái đề cương được ko
Bạn thử tìm hiểu về ACS của Cisco xem sao.
Hỏi Google các thông tin cơ bản của cái này trước. Nếu có gì không hiểu thì post lên đây, mọi người sẽ hỗ trợ tiếp, chứ bạn nhờ làm một việc gì từ đầu thì không ai hỗ trợ đâu.
|
|
|
Các anh có thể mở những link nào bắt đầu bằng tên miền diễn đàn của mình được không ạ?
Ví dụ, một số bài viết có tham khảo đến link của các bài viết khác trên chính diễn đàn. Việc này em nghĩ nó không ảnh hưởng đến nội dung chính sách bảo mật liên quan đến link của diễn dàn HVA.
|
|
|
@Conmale: Những kết quả kiểm tra của anh đối với ngân hàng VN và ngân hàng ở Úc cho thấy rằng:
- Các ngân hàng ở VN hiện này không chú trọng đến vấn đề an toàn trong giao dịch giữa khách hàng với họ
- Một số thậm chí còn không triển khai việc bảo đảm an toàn (họ không sử dụng https - hoặc do họ chưa có mấy cái gọi là ibanking hay ebanking).
Em muốn hỏi anh một số điểm:
- Việc họ làm vậy có khả năng gây ra thiệt hại cho khách hàng không? (Kinh nghiệm của anh đã gặp trường hợp sự cố nào xoay quanh việc này chưa ạ?)
- Nếu anh có chức năng liên quan đến việc xử lý vấn đề này, anh sẽ làm sao để cho các ngân hàng VN được đồng bộ tốt như ở Úc. (trên phương diện quản lý vĩ mô chẳng hạn)
P/s: Việc đa số ngân hàng bị lỗi qua bước kiểm tra của anh một phần lớn là do các ngân hàng triển khai các dịch vụ online trên domain khác với domain anh kiểm tra và một số không có hỗ trợ https. Tuy nhiên, dễ dàng nhận thấy họ cấu hình quá "ẩu" và tuỳ tiện.
Cảm ơn anh.
|
|
|
xnohat wrote:
invalid-password wrote:
myquartz wrote:
trình duyệt sẽ cảnh báo ngay nếu cert đó ko được 1 CA Cert có trong trust store của nó
Vậy có cách nào để nó giả luôn CA hay không, để trả lời người dùng là cert đó là tin cậy ?
câu trả lời là Không
Vì bồ không thể làm giả Signature của của Trusted CA
Chính xác là hầu như là không thể, ngoại trừ một số trường hợp các trusted root CA cũ vẫn còn dùng thuật toán MD5 trong sơ đồ chữ ký của họ.
|
|
|
Cknight wrote:
Mình đang đợi chờ bạn đây......Đang mong mỏi bài TUT của bạn mà sao cứ imlawngj hoài vậy???
Đây này, TUT 1, hehe, nhưng chất lượng thì mình không bàn nữa.
/hvaonline/posts/list/35336.html
P/s: siêu dự án của bác chủ topic chắc toi rồi. Lần sau bác cứ làm cái gì nó đơn giản, nhẹ nhàng cho dễ.
|
|
|
Tuổi thọ linh kiện bán dẫn như CPU phụ thuộc nhiều vào các yếu tố môi trường hoạt động của nó:
- Nó chạy trên nền bo mạch chủ nào, độ ổn định của loại bo mạch đó
- Nguồn cung cấp điện
- Môi trường độ ẩm,
- Chống sét,...
Do đó theo mình, khó có thể có thông tin chính xác cho tuổi thọ của một CPU được. Có chăng là con số tương đối trong môi trường thử nghiệm chuẩn (lý thuyêt).
Cho nên khi dùng máy tính cho các chức năng cần độ sẵn sàng, ổn định cao, cần dùng nhiều giải pháp dự phòng khác để giảm thiểu rủi ro.
|
|
|
mrclown1320 wrote:
bấm post 1 lần nó nhảy 2 cái, xoá không được, các mod giúp del hộ mình, thanks
Có bài nào post đi xem chất lượng thế nào, nói nhiều quá.
|
|
|
pcbuon wrote:
Ở nha phụ huynh gây áp lực quá trời bắt em phải học cao học. Thấy mù mở quá, không biết sễ học gì, sau này ra làm được gì, mà xiền luơng có khấm khá hơn không các anh?
Quan điểm cá nhân mình: nên học nếu có điều kiện học, cho dù bạn học VN hay nước ngoài không quan trọng. Điều quan trọng là:
- Bạn sẽ có một khoảng thời gian tương đối để tập trung vào một lĩnh vực cụ thể,
- Bạn sẽ có cơ hội học hỏi cách học tập, tiếp cận vấn đề khác với hồi SV (bạn sẽ phải chủ động hơn trong việc tiếp cận vấn đề mới, kiến thức mới - không còn thầy dạy gì học nấy như SV nữa - điểm này rất nhiều trường đại học đang đào tạo theo cách này).
Quan trọng hơn:
- Bạn phải xác định rõ ngành học trước khi bắt đầu theo đuổi (4-5 năm đại học đã đủ cho bản làm quen, tiếp xúc các lĩnh vực rồi, giờ bạn phải xác định lựa chọn một lĩnh vực cụ thể)
- 2 năm học hành nghiêm chỉnh, chắc chắn bạn sẽ có một lượng kiến thức hơn hẳn ĐH (trừ một số trường hợp cá biệt).
Hãy học đi, khi bạn học CH, bạn đã khá trưởng thành rồi, hãy dành các thời gian học các vấn đề khác nữa. Hãy học dù cho môi trường xung quan bạn toàn những người học giả, học để có mảnh bằng, không quan tâm đến việc họ đang lãng phí thời gian và tiền bạc.
Nếu có thể hãy cố gắng làm khác những điều bạn cảm thấy không hay, không phải. (Không cần phải lên án, chỉ trích này nọ các vấn đề về giáo dục làm chi, bạn hãy hành động bắt đầu từ bản thân).
Nếu như vậy, mình chắc chắn một điều, sau khi học xong, bạn sẽ thu được những kết quả nhất định. Lúc đấy có khi bạn sẽ không còn nghĩ là học CH chỉ để cho cha mẹ bạn.)
Thân mến.
|
|
|
StarGhost wrote:
@hvthang: bạn có thể nói rõ hơn về vấn đề non-repudiation trong trường hợp WoT so sánh với PKI được không?
Mình thì mình cho rằng lí do WoT không được dùng rộng rãi như PKI, nếu chỉ tính trên phương diện security, thì chẳng có tí dính dáng gì đến vấn đề kĩ thuật hết. Quan điểm của mình là: WoT và PKI được thiết kế với 2 mục đích khác nhau, trên thực tế mỗi cái hoạt động ở một môi trường của riêng nó, nơi mà cái kia hoàn toàn không được ưa thích.
À, mà nếu mà nói về việc cái nào dùng rộng rãi hơn dựa trên số lượng certificates của mỗi bên, thì mình cũng không chắc là PKI hay WoT nhiều hơn đâu nhé.
Ngoài ra, mình cho rằng có một thứ còn yếu hơn PKI và WoT rất rất nhiều mà nó vẫn được dùng hết sức phổ biến, mà hình như chưa bao giờ bị than phiền về vấn đề security. Mình để bạn đoán thử coi nó là cái gì?
Có thể mình đã phát biểu sai khi nói về khía cạnh kỹ thuật của non-repudiation (mình nghĩ lại thấy đây cũng đơn thuần là vấn đề pháp lý, con người khi xảy ra tranh chấp), lý giải của mình là:
- Mô hình PKI tồn tại một cơ quan chứng thực tập trung (CA) cơ quan này sẽ chịu trách nhiệm cho các thông tin họ chứng thực, khi xảy ra tranh chấp họ sẽ là đối tượng được căn cứ để đưa ra các cơ sở để giải quyết.
- Mô hình WoT, theo mình biết thì vấn đề trust nó dựa trên sự tích luỹ của nhiều đối tượng (phân tán) dó đó, khi xảy ra tranh chấp giữa các bên tham gia giao dịch thì sẽ khó tìm được đối tượng có thẩm quyền cao nhất để giải quyết.
P/s: đọc lại các thảo luận của mình, mình cảm thấy hơi cố chấp trong việc bảo vệ ý kiến cá nhân. Mình nhận khuyết điểm này, cũng như khuyết điểm đưa ra một số phát biểu chung chung hơi cảm tính, thiếu cơ sở khoa học. Mình sẽ rút kinh nghiệm. Cảm ơn các bạn đã thảo luận cùng.
|
|
|
mrro wrote:
hahaha hay thật. nhờ bạn SG nói vài lời mà cuối cùng bạn hvthang cũng đã hiểu ý mình.
hahaha, bạn đã biết mình đã hiểu ý bạn, nhưng hình như bạn vẫn chưa hiểu ý mình .
Mình hỏi tại sao mô hình WOT nó không được dùng rộng rãi trong thực tế là ở phương diện kỹ thuật. Bạn lại lấy trả lời theo ý của invalid-password.
Mình cho rằng, mô hình WOT gặp vấn đề ở non-repudiation. Do đó, nó không được dùng rộng rãi, bạn có thể đưa các chứng minh để làm rõ điều này (các chứng minh cần gắn với thực tế) giúp mình nếu bạn không đồng ý.
Do đó, có CA chữ ký số mới an toàn hơn. hahaha
p/s: cười hahaha thật là đã đó.
|
|
|
StarGhost wrote:
@hvthang: chính vì mrro đã đọc sách nên mới thắc mắc về các nhận định của bạn, thế nên việc bạn viện dẫn tên các tài liệu sách vở mà không đi sâu chi tiết hầu như chẳng có ý nghĩa gì. Mình cho rằng bạn đã đi lệch trọng tâm của vấn đề, bởi vì chúng ta đang bàn về độ an toàn của chữ kí số, chứ không phải là của một hệ thống PKI. Nếu nói về an toàn của PKI thì không chỉ liên quan đến chữ kí số, mà còn có rất nhiều vấn đề khác, tỉ như physical security, database security, communication security, etc.
Ngoài ra, như mrro đã nói, khi bạn đưa ra nhận định về độ an toàn, thì trước đó bạn cần thiết phải định nghĩa thế nào là an toàn, chứ không bạn cứ nói an toàn tuyệt đối, hay gần tuyệt đối gì gì đó như vậy thì chả khác gì mấy tay nhà báo.
Một điều quan trọng nữa, là mrro đang thảo luận câu hỏi tại sao, trong khi bạn toàn đưa ra các facts để trả lời câu hỏi như thế nào.
Cảm ơn bạn,
Có lẽ mình hơi lệch đề thật, mình không có ý định trả lời các câu hỏi tại sao của mrro mà chỉ muốn làm rõ quan điểm "sự tồn tại của cơ quan CA có ảnh hưởng trực tiếp đến độ an toàn của chứ ký số".
|
|
|
mrro wrote:
. mỗi khi mình hỏi đến mấu chốt vấn đề tại sao lại như thế, thì bạn kêu là có thể đọc sách để hiểu. mình muốn hỏi ngay chính bạn, tự vì bạn là người đưa ra cái nhận định đó. nếu bạn không thể tự bảo vệ được nhận định của mình, thì mình nghĩ không nên đưa ra những nhận xét như đúng rồi.
Mấu chốt là cả thế giới công nhận và đã được chuẩn hoá (còn chuẩn nào thì mời bạn tự search), mình nghĩ bạn là người ham đọc sách nên mình mới viện dẫn đến các tài liệu sách giao khoa cho bạn đỡ phân vân như trường hợp wiki thôi.
mrro wrote:
Ha ha ha chính là vì nó không ngon lành, mà nó vẫn được tất cả các browser tin tưởng, nên mình mới nói nhận định của bạn "không phải vô lý mà các CA lớn họ được tin tưởng rộng rãi, họ phải đạt các tiêu chuẩn an toàn kỹ thuật cực kỳ khắt khe của các hiệp hội kiểm định" là sai sự thật.
Từ đầu mình đã nói, CA sử dụng MD5 mới bị hình thức tấn công này. Một số CA vẫn còn được trust ở trình duyệt trong khi vẫn sử dụng MD5 có thể do họ đã được pass từ trước khi MD5 bị coi là không an toàn. Hiện giờ chắc chắn sử dụng MD5 sẽ bị loại.
Bạn nói sai sự thật, nếu vậy bạn cho cái CA của bạn tạo ra được trust như trên thử xem.
mrro wrote:
mình có cái keyword dành cho bạn: web of trust. trong cái mô hình web of trust, chẳng có thằng CA nào cả, nhưng chữ ký vẫn có giá trị đó bạn .
Đồng ý với bạn về nội dung này. Nó cũng không mâu thuẫn với những lập luận ban đầu của mình khi nói về vai trò của CA và độ an toàn của chữ ký số.
Vậy bạn có thể giải thích tại sao mô hình WOT không được dùng rộng rãi bằng mô hình PKI không?
|
|
|
hywebvn wrote:
- Không có CA, các chữ ký sẽ không có chút giá trị nào (và chắc chắn cũng chẳng an toàn vì nó hoàn toàn có thể bị giả mạo - không có CA chẳng có gì để kiểm soát được việc này).
- Không có CA, không ai chứng thực cho cái khoá public của user là của họ cả. Do vậy, độ an toàn của cái chữ ký cũng chẳng có ý ngĩa nữa.
Tớ tạo ra một cặp PR/PU, tớ đưa cho cậu cái PR tớ bảo cậu gửi cho tớ cái gì thì ký bằng PR. Vậy có tin tưởng được không?
CA chỉ là một kênh để verify PU của User thôi. Còn cách khác verify mà.
Trong trường hợp ví dụ của bạn, hoàn toàn có thể tin tưởng vì mình và bạn đã "biết" nhau quá rõ rồi. Tuy nhiên, bạn nên lưu ý chữ ký là gì và nó sử dụng trong những mô hình thực tế nào, đâu phải để cho 2 người ký và trao đổi nội bộ cho nhau.
Chữ ký của bạn phải hoạt động được trong môi trường mạng public, đó là một trong những nguyên nhân sinh ra cái PKI.
|
|
|
mrro wrote:
---> mời bạn giải thích tại sao thuật toán và mật mã hoá mà CA sử dụng lại có độ bền vững gần như tuyệt đối. nhân tiện nhờ bạn giải thích thế nào là gần như tuyệt đối luôn.
Điều này bạn có thể đọc các tài liệu liên quan đến mật mã hoá (cả thế giới đã công nhận RSA với 4096 bit và SHA-128, 256 là không thể phá được).
Mình sử dụng khái niệm gần tuyệt đối bởi hiện tại nó là không phá được, tuy nhiên tương lai thì không ai dám chắc cả.
mrro wrote:
---> mời bạn giải thích nếu mà các CA ngon lành như bạn nói thì tại sao lại có cái tấn công làm giả một cái CA certificate được tất cả trình duyệt tin tưởng?
Bạn muốn nói đến việc giả mạo cert của root dựa vào lỗ hổng sử dụng MD5? Bạn cũng biết MD5 đã không còn an toàn, cho nên nó không được sử dụng trong các hệ thống CA mới xây dựng gần đây (chủ yếu các CA có từ khoảng năm 200).
Cho nên cái CA bạn nói nó không ngon lành đâu bạn.
mrro wrote:
về câu hỏi của bạn, mình khẳng định như thế, bởi vì thao tác cơ bản của một CA là ký vào public key của khách hàng. thành ra phải có chữ ký điện tử an toàn thì mới xây dựng được các CA. hệ thống CA được tạo ra là để giải quyết vấn đề xác thực danh tính (và họ làm việc đó bằng cách sử dụng chữ ký điện tử), chứ không phải để làm cho chữ ký điện tử an toàn hơn.
Ở đây, có thể bạn đang nói đến khía cạnh khác của chữ ký số. Mình đang hiểu là bạn nói đến độ an toàn của chữ ký dựa vào thuật toán ký.
Tuy nhiên, chứ ký có an toàn không phụ thuộc vào nhiều nhiếu tố, và CA là một yếu tố quan trọng. Nhờ CA mà chữ ký của người dung an toàn hơn ở các góc độ sau đây (ở tầm ứng dụng thực tế và vĩ mô hơn một tí so với các công thức thuật toán):
- Không có CA, các chữ ký sẽ không có chút giá trị nào (và chắc chắn cũng chẳng an toàn vì nó hoàn toàn có thể bị giả mạo - không có CA chẳng có gì để kiểm soát được việc này).
- Không có CA, không ai chứng thực cho cái khoá public của user là của họ cả. Do vậy, độ an toàn của cái chữ ký cũng chẳng có ý ngĩa nữa.
- Tất nhiên, chữ ký được tin tưởng rộng rãi hơn
- ... tạm thời là thế,
Còn trong trường hợp, thuật toán ký bị phá thì cả CA lần user đều bị tổn hại, khi đó phải sử dụng thuật toán ký khác.
P/s: bạn có thể làm rõ hơn quan điểm của bạn về vấn đề này, để tiện trao đổi và học hỏi, không cần phải đánh đố nhau làm gì.
|
|
|
mrro wrote:
@eff3: ý của mình không phải như vậy. ý mình không có liên quan gì đến sự khác biệt giữa root CA và sub CA cả. mình nghĩ để hiểu ý của mình, bạn cần phải hiểu cách CA cấp certificate cho người sở hữu public key. họ cấp certificate dựa trên cơ chế nào?
khi đã hiểu, bạn sẽ thấy rằng, các CA đều dựa vào sự an toàn của chữ ký điện tử để hoạt động, do đó không thể nói là chữ ký điện tử an toàn hơn vì có các CA. nói như vậy là nói ngược .
-m
Bạn mrro đang hỏi tiếp hay bạn khẳng định đoạn này?
Chữ ký số về cách tạo ra thì theo một chuẩn (CA ký lên cert của user, user ký lên các thông tin cần xác thực đều dùng một thuật toán).
Tuy nhiên, bạn cần lưu ý:
- CA sẽ dùng bộ khoá có độ dài lớn hơn (thường là 4096 bit)
- Khoá của CA được lưu trữ một cách đặc biệt an toàn (HSM)
- Các thủ tục để kích hoạt HSM cũng có các tiêu chuẩn an toàn nhất định (theo FIPS PUB 140-2)
Vậy nên, có thể khẳng định chữ ký của CA (đạt tiêu chuẩn kỹ thuật) sẽ có độ bền vững gần như tuyệt đối (cả về thuật toán, mật mã hoá, an toàn vật lý, con người) - nó khác chữ ký của user thông thường là ở chỗ đó (chữ ký cuả user có thể bị giả mạo nếu dùng khoá không tốt (độ dài, thuật toán,...)
Do vậy, khi được CA ký (xác thực thông tin định danh với public key) thì chứng thư số sẽ đảm bảo an toàn hơn khi không có CA mà tự ông user tạo nên chứng thư số đó và tự xác thực cho mình.
P/s: không phải vô lý mà các CA lớn họ được tin tưởng rộng rãi, họ phải đạt các tiêu chuẩn an toàn kỹ thuật cực kỳ khắt khe của các hiệp hội kiểm định (Webtrust,...),
Bạn có thể tạo một CA, và cấu hình các tham số tuỳ thích (ví dụ dùng MD4, MD5 chẳng hạn), khi đó CA của bạn sẽ không an toàn - trong trường hợp đó dù cho người dùng thuộc CA của bạn có thực hiện các biện pháp an toàn nào nữa thì cũng không còn ý nghĩa.
|
|
|
mrro wrote:
---> mình thấy bạn hvthang lạ nhỉ. bạn cứ khăng khăng là nếu chỉ nói RSA signature scheme thì dùng các khái niệm "giải mã", "mã hoá" vẫn đúng, trong khi bản thân định nghĩa của RSA signature scheme, và định nghĩa của rất nhiều digital signature scheme khác, không hề có các khái niệm này.
mà vấn đề này có còn gì để thảo luận hoặc làm rõ nữa đâu? sao không ai thảo luận về những vấn đề mình đưa ra nhỉ?
-m
Trước hết, mình không khăng khăng (bạn đọc bài kỹ bài mình thảo luận sẽ thấy, vì mình đang phân vân).
Còn về cái định nghĩa, nếu định nghĩa theo công thức toán học thì đúng như bạn nói (mình đồng ý với quan điểm này), đó là định nghĩa phát biểu bằng lời các công thức toán học mô tả signature scheme. Tuy nhiên, khi bạn đọc thêm các giải thích đằng sau cái định nghĩa đó thì hoàn toàn có thể sử dụng cái đoạn giải thích (giờ mình không gọi nó là định nghĩa nữa) ban đầu của chủ topic đưa ra, bởi thực sự thuật toán nó đã thực hiện các công đoạn đó, chỉ khác là cách gọi thôi (bạn gọi theo công thức, nhưng có người gọi theo cái ý nghĩa của công thức đó - không có gì sai cả).
Đây chính là lý do mà cái giải thích về chữ ký số và các sơ đồ ký và kiểm tra chữ ký đó vẫn tồn tại được (bạn có thể nói nó sai - đó là quan điểm cá nhân bạn).
Bạn không thích wiki có thể đọc cuốn Cryptography - Theory and Practice
|
|
|
mrro wrote:
mình thấy các bạn cần chú ý 02 điểm (mà SG cũng đã nói rồi):
* trong định nghĩa của các sơ đồ ký số (digital signature schemes) không có nói về mã hoá và giải mã; mà là ký (sign) và kiểm tra chữ ký (verify).
Đồng ý với bạn và bạn SG. Tuy nhiên, bạn có thể giải thích tại sao rất nhiều tài liệu có nguồn gốc khá đáng tin lại định nghĩa theo cách kia. Ví dụ: http://www.answers.com/topic/digital-signature
mrro wrote:
* ngoài RSA signature scheme ra, còn có các digital signature scheme khác mà trong sơ đồ hoạt động không hề có cái thao tác *giống* với mã hoá/giải mã như RSA signature scheme. thiệt ra RSA signature scheme phổ biến vì nó...dễ làm (và dễ làm sai), chứ nó cũng không phải là tiêu chuẩn. nếu cứ lấy tiêu chuẩn của NIST là tiêu chuẩn chung, như chúng ta vẫn xem AES là tiêu chuẩn để mã hoá dữ liệu, thì DSA mới là tiêu chuẩn.
-m
Trong chủ đề này, giả sử chúng ta chỉ bàn đến RSA signature scheme cho cụ thể nhé.
Và nó cũng đã được chuẩn hoá rồi đấy bạn, nếu mình không lầm thì đó là ISO 9796 và dòng PKCS# cũng được công nhận là các chuẩn rồi đấy chứ bạn (điểm này mình cũng không chắc lắm).
Do đó, nếu bác nào có kinh nghiệm, kính mong giải thích và làm rõ.
Cảm ơn.
|
|
|
eff3 wrote:
mình nghĩ là ở đây mrro đang muốn nói đến vấn đề wan trọng là người nhận văn bản ký có được đúng cái pub key của người gửi. Mà cái này thì được bảo đảm bới những CAs. Tóm lại nói gì nói, vẫn cần phải có 1 người thử 3 làm trung gian chứng nhận về pub key của từng cá nhân thì những phương pháp, ứng dụng của PKI mới sử dụng đc. Còn nếu ko thì
Mình nghĩ ở đây đang bàn về chữ ký số chứ không phải chứng thực chữ ký số, do đó hoàn toàn có thể không tồn tại cơ quan CA trong mô hình này.
|
|
|
mrro wrote:
àh, mình thấy OP có một câu hỏi rất hay, mà hình như chưa ai trả lời cho nó rõ ràng:
vitcon01 wrote:
Chữ ký điện tử (digital signature) là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc
--> Vấn đề cơ chế nào để đảm bảo rằng dữ liệu không bị thay đổi!.
bạn hvthang có trả lời như sau:
hvthang wrote:
Đoạn dữ liệu có thể bị thay đổi nhưng nó không thể mã hoá trở lại bằng khoá bí mật của người ký (một trong các công đoạn "ký" là hành động mã hoá đoạn dữ liệu này bằng khoá bí mật của người ký).
cứ xem như là đang nói về RSA signature scheme, thì mình vẫn chưa thấy câu trả lời này thoả đáng nha. nhắm mắt hỏi đại, tại sao cái đoạn màu vàng lại luôn đúng? tại vì 3 ông R, S, A nói vậy hay tại lý do gì?
thậm chí nếu mà cái đoạn màu vàng luôn đúng, người ta vẫn thay đổi được dữ liệu đó thôi. giống như cái tấn công tạo ra một cái rogue CA certificate hồi cuối năm 2008.
vậy rốt cuộc thì cái gì quyết định một hệ thống chữ ký điện tử là an toàn? áh, mà thế nào là an toàn . an toàn là không bị tấn công? vậy có những tấn công nào? khi nào thì chúng được xem là thành công? tại sao các sơ đồ đang được sử dụng vẫn được xem là an toàn trước các tấn công này?
mình nghĩ đi tìm câu trả lời cho những câu hỏi này sẽ khai phá được nhiều cái hay.
-m
Mình xin bổ sung thêm cho câu trả lời ban đầu, vẫn là ý tưởng ban đầu,
Giá trị hàm băm được sử dụng trong khi tạo chữ ký số phải tạo bởi thuật toán an toàn (SHA-1, 2,...).
Trong phạm vi các dữ kiện đưa ra trong câu hỏi, thì việc xác thực và đảm bảo tính toàn vẹn chỉ có thể thông qua việc mã hoá và tạo giá trị hash. Do đó, nếu đảm bảo an toàn 2 bước trên thì thông điệp là toàn vẹn và xác thực.
|
|
|
StarGhost wrote:
@hvthang: vậy bạn cho mình hỏi là trong DSA thì những bước mà bạn cho là cơ bản đó nằm ở chỗ nào (mã hoá, giải mã, so sánh hash)? Còn chuyện lược đồ trên wiki đúng hay sai thì mình cũng không muốn tranh cãi vì lí lẽ đã đưa ra ở trên. Nói chung mình thấy nhiều người vì sự phổ biến của RSA nên hay bị nhầm lẫn giữa RSA signature scheme và cái gọi là digital signature.
Theo cái sơ đồ mô tả thì Digital Signature (chữ ký số - khác chữ ký điện tử (Electronic Signature)) bao gồm:
- Tính toán giá trị tóm lược của thông điệp dữ liệu - H1 (dùng hàm hash) - bước này đảm bảo tính toàn vẹn
- "Mã hoá" H1 bằng khoá bí mật - bước này đảm bảo tính xác thực, chống chối bỏ của thông điệp dữ liệu cũng như người ký thông điệp dữ liệu
- Đính kèm với thông điệp dữ liệu.
Để xác thực chữ ký, người nhận cũng thực hiện một số thao tác tương tự (xem sơ đồ trong wiki), trong đó có bước giải mã giá để có được giá trị H1, giải mã sử dụng khoá công khai (sở dĩ gọi là công khai vì khoá này được công bố rộng rãi).
Các bước trên có thể được toán học hoá thành các công thức, thuật toán cụ thể, tuy nhiên về nguyên tắc chắc nó cũng chỉ để thể hiện các thông tin trên - hay chính xác hơn, các thông tin trên là cơ sở lý thuyết để sinh ra các chữ ký số (cái mà người nghĩ ra nó với mong muốn thay thế chữ ký tay thông thường - đảm bảo các tính chất của chữ ký tay).
Mình vẫn cho rằng sơ đồ mô tả trên wiki và một số sách ứng dụng về DS là hoàn toàn đúng (về mặt ý tưởng lý thuyết, và có thể xem nó là định nghĩa của chữ ký số trong một phạm vi nào đó).
P/s: trong trường hợp này mình muốn nói là lược đồ RSA phổ biến, còn các lược đồ khác có thể khác.
|
|
|
Bạn thử dùng trình quản lý file khác xem (Total Commander chắng hạn) - vào safe mode để thao tác.
|
|
|
StarGhost wrote:
@hvthang: không (đúng hơn là chưa) tồn tại khái niệm mã hoá và giải mã trong các thuật toán thực hiện chữ kí điện tử (digital signatures). Nói chung là cả cái định nghĩa đó mình cho là không có chỗ nào đúng. Bạn có thể tham khảo http://en.wikipedia.org/wiki/Digital_signature#Definition để biết một cách informal về chữ kí điện tử (Lưu ý: cái hình đi kèm thì không đúng).
Mình đã xem lại một số thông tin từ tài liệu PKCS#1, trong đó mô tả lược đồ ký số RSA khá phổ biến (đa số các ứng dụng ký số mình gặp đều dùng lược đồ này). Đúng như bạn nói, khái niệm mã hoá và giải mã không được định nghĩa, tuy nhiên, hầu hết các tài liệu viết về chữ ký số đều định nghĩa chữ ký số và xác thực chữ ký số một cách chung chung (theo sơ đồ - mà bạn nói sai, tuy nhiên cái này mình chưa chắc lắm vì sai là quan điểm của bạn, còn wiki nó vẫn dùng để minh hoạ là có lý do của nó). Như vậy, theo mình hiểu thì về cơ bản ký số vẫn bao gồm một số bước như vậy, và nếu gọi bược sign là dùng khoá bí mật (private key) của người ký để "encrypt" bản tóm lược dữ liệu thì vẫn chấp nhận được.
Cảm ơn.
gvs.margaid_erutangiS_latigiD:eliF/ikiw/gro.aidepikiw.ne//:ptth
|
|
|
|
|
|
|