@chang-co-ten: Bẩm cụ, về lý thuyết, chữ ký số được coi là hợp lệ (xác thực) nếu:
a. Nó có sẵn trong kho chữ ký của phần mềm dùng để xác thực, hoặc
b. Nó có thể giải mã được bằng... 1 chữ ký số khác cấp cao hơn, có sẵn trong kho chữ ký của phần mềm dùng để xác thực
*
Về chữ ký số, em xin bổ sung giải thích theo kiểu dân dã, không đi sâu vào thuật toán cho các cụ đỡ đau đầu. Giải thích này em chủ yếu cóp nhặt từ giải thích của các thành viên trên Stackoverflow, một số là ý kiến chủ quan từ kinh nghiệm của em.
1. Việc dùng chữ ký số để XÁC THỰC thông tin NGƯỢC với việc MÃ HOÁ thông tin mà chúng ta vẫn quen thuộc.
MÃ HOÁ thông tin: Thông tin là bí mật. Nhiệm vụ của mã hoá thông tin là làm cho thông tin đấy không thể đọc được đối với những người không có thẩm quyền.
KÝ SỐ: Thông tin là công khai. Nhiệm vụ của ký số là chứng minh/ bảo đảm rằng nguồn gốc thông tin đến từ Người ký.
2. HASH, Băm, hay là số định danh của thông tin (ID thông tin)
Mỗi thông tin, ví dụ một dãy ký tự: "Nguyễn Văn A, ngày sinh 1-1-1955, quê quán tỉnh X, huyện Y, xã Z...." có thể được đặc trưng bởi 1 chuỗi ký tự RÚT GỌN, DUY NHẤT (gần như). Chuỗi ký tự RÚT GỌN đó giống như số định danh của thông tin.
Đó chính là khái niệm HASH hay Băm mà cụ Tèo nói ở trên, nhưng gọi thế nó khó hình dung. Em tạm gọi là ID thông tin hay số định danh của thông tin.
3. Mã bí mật và mã công khai (Private key và Public Key) trong ký số:
Trong việc ký số:
- Mã bí mật là cái Ổ KHOÁ (dùng để mã hoá ID thông tin). Ổ khoá chỉ CHÍNH CHỦ Chữ ký tiếp cận được, kể cả tổ chức cung cấp/bán chữ ký số cũng không biết Mã bí mật này.
- Mã công khai là cái CHÌA KHOÁ (dùng để giải mã ra ID thông tin). Chìa khoá này ai cũng có nó được đính kèm chữ ký số.
Sự ví von này chỉ là gần đúng, nó NGƯỢC với cách dùng Ổ khoá và Chìa khoá vật lý.
*
Khi em mua chữ ký số (OV Code signing) cho phần mềm thì cặp Private key (Ổ KHOÁ) và Public Key (CHÌA) được sinh ra TRÊN MÁY TÍNH CỦA EM. Em chỉ cung cấp Public key (Chìa) cho đại lý bán chữ ký số. Private key (Ổ khoá) phải lưu lại ở máy nhà.
Khi nào đại lý cấp "phôi" chữ ký (tạo ra từ Public key, tên tuổi, địa chỉ... của em), em phải dùng 1 phần mềm khác do đại lý cung cấp để ráp Private key (Ổ KHOÁ) với "phôi" tạo thành chữ ký số hoàn chỉnh.
4. Ví dụ về cơ chế của việc ký số:
Dữ liệu đầu vào: 1 file (văn bản, phim hay bộ cài phần mềm) và Mã bí mật (Private key)
Quá trình thực hiện việc ký số:
+ Tính ID (hay là HASH, hoặc Băm) của file
+ Mã hoá ID file. Em nhắc lại, chỉ mã hoá ID của file chứ KHÔNG mã hoá cả cái file to đùng.
+ Đính kèm thông tin mã hoá "ID của file" này với file
+ Đính kèm Mã công khai (chữ ký số của người ký) với file
Vậy là xong việc ký
5. Cơ chế xác thực nguồn gốc thông tin
Dữ liệu đầu vào: 1 file đã ký (bao gồm File, ID của file sau mã hoá và Chữ ký số (trong đó bao gồm Mã công khai (Public key)) của người ký)
Quá trình xác thực nguồn gốc file:
+ Từ File => Tính ID (hay là HASH, hoặc Băm) của file (ra ID1)
+ Từ ID của file sau mã hoá và chữ ký số đi kèm => Giải mã ID của file, sử dụng mã công khai đính kèm chữ ký số (ra ID2)
+ So sánh ID1 với ID2, chúng phải GIỐNG nhau ==> KẾT LUẬN 1: THÔNG TIN KHỚP với "ID THÔNG TIN" và KHỚP CHỮ KÝ đính kèm
+ Xác minh nguồn gốc Chữ ký số đính kèm file: Chữ ký đó phải (a) có trong kho của Phần mềm xác thực chữ ký, hoặc
(b) giải mã và xác thực được bằng chữ ký số khác cấp cao hơn có sẵn trong kho của phần mềm xác thực chữ ký ==> KẾT LUẬN 2: CHỮ KÝ HỢP LỆ
Từ KẾT LUẬN 1 và KẾT LUẬN 2 rút ra file này "Chuẩn".
5. Chúng ta vẫn va chạm với chữ ký số... hàng ngày, hàng giờ
SSL Certificate: Chữ ký số của trang web. Thỉnh thoảng các cụ thấy Google Chrome ngăn cản truy cập vào 1 số trang "KHÔNG AN TOÀN". Lý do phổ biến là vì các trang này không được ký số, hoặc đã ký bằng chữ số nhưng ... hết hạn
Windows: Chữ ký số của phần mềm. Khi mở file cài phần mềm, các cụ sẽ thấy Windows bắn ra 1 cái cửa sổ: Open file - Security Warning. Thường là chúng ta nhắm mắt bỏ qua. Nhưng nếu đọc kỹ, sẽ thấy sự khác biệt. File chưa ký: Tác giả không rõ (Unknown Publisher), lá chắn màu đỏ; File đã ký: Có tên tác giả, lá chắn màu vàng.
6. Chữ ký số ...mất tiền và có thời hạn
Bất kỳ ai có máy tính đều có thể đẻ ra vô số cặp Public key - Private key. Nói cách khác, chi phí sản xuất chữ ký số gần như = 0.
Tuy nhiên, làm sao để người khác công nhận chữ ký của mình lại không đơn giản.
Để được công nhận, ông chủ của chữ ký phải có đủ UY TÍN, uy tín đến từ sự công nhận của số đông
Ví dụ:
- Microsoft mắt nhắm mắt mở cho chúng ta dùng Windows gần như "miễn phí", trong Windows có chứa sẵn chữ ký gốc (Root Certificate) và các chữ ký thứ cấp của các tổ chức được họ cấp quyền bán chữ ký. Các cụ dùng Windows tức là gián tiếp công nhận các chữ ký đó. Các chữ ký "có nguồn gốc" Windows được thực hiện các tác vụ trong Windows (cài phần mềm, chỉnh sửa phần mềm, chỉnh sửa file hệ thống....).
Giá của chữ ký 1 năm loại rẻ nhất (cách đây đây 4 tháng) vào khoảng 60-80$ (loại EV Code signing dùng để ký thư viện/ bộ cài phần mềm bán cho các nhân). Hồi tháng 3, em mua chữ ký 3 năm hết 142$. Bây giờ check lại, vẫn đại lý đó nó tăng mịe giá lên 680$/ 3 năm. Hút máu kinh.
- Google Chrome là miễn phí. Trong bộ cài Google Chrome cũng có sẵn kho chữ ký gốc và chữ ký thứ cấp của các tổ chức được cấp quyền bán chữ ký. Trang web nào không chịu ký bằng chữ ký do các tổ chức được uỷ quyền này bán thì Chrome CHẶN không cho hiển thị. Khi các cụ dùng Google Chrome là gián tiếp công nhận quyền CHẶN của Chrome. Hàng năm, kho chữ ký của Chrome liên tục thay đổi. Nên chữ ký cũng phải gia hạn (mua lại) theo năm; anh nào dại mua chữ ký có hạn 3 năm thì coi như ném 2 năm tiền qua cửa sổ (Cái này là em đọc được trên Quora, Reddit ... chứ chưa tận mắt thấy)
May có cụ @is3 viết giúp cả bài ở trên em đỡ công ngồi gõ vì tối qua mới ngồi cặm cụi làm xong 2 cái ảnh cơ chế của ký số (DSA) với mã hóa RSA. Nên em bổ sung luôn 2 cái ảnh giữa RSA với SDA cho dễ hình dung quy trình.
Đầu tiên là thống nhất thuật ngữ đã:
- Public Key: Khóa công khai (chia sẻ cho cả thiên hạ biết thoải mái)
- Private Key: Khóa bí mật (Người giữ khóa phải giữ bí mật tuyệt đối cái khóa này)
Đúng là về bản chất thì khóa công khai hay khóa bí mật nó chỉ là một chuỗi ký tự dài ngoằng khó nhớ nên cái nào là ổ khóa cái nào là chìa thì tùy cách nhìn nhận. Nhưng thực ra thì cái chìa với ổ trong chữ ký số cũng hoàn toàn có thể giải thích theo chiều xuôi được mà cụ is3 ới:
Ví dụ như Nguyễn Văn A làm ra cả chìa lẫn ổ (phôi khóa), xong bảo bên làm ổ khóa như Việt-Tiệp nhân bản cái phôi khóa của Nguyễn Văn A lên. Chỉ khác biệt là cái ổ được hãng Việt-Tiệp làm thì mặt trước khắc tên Nguyễn Văn A, mặt sau khắc logo Việt Tiệp. Thì người nhận chỉ cần nhìn hình khắc là biết cái ổ này đúng là từ Nguyễn Văn A và được Việt Tiệp xác thực.
1. RSA
Cơ chế của nó thì khá đơn giản như hình trên. Và đã giải thích ở post trên, nên em không nói lại nhiều. Chỉ có điều các cụ nhớ cái Chìa khóa bí mật của người nhận được tạo ra từ tích của 2 số nguyên tố cực lớn.
2. DSA
Cơ chế thằng DSA hơi phức tạp hơn chút nhưng nhờ có cụ @is3 đã giải thích cặn kẽ nên em ko cần viết lại nữa. Em chỉ bổ sung thêm 1 điểm khác biệt là cái Chìa khóa bí mật của bên ký trong DSA thì tương đương với Chìa khóa bí mật của người nhận bên RSA nhưng cái Chìa khóa bí mật của bên ký này thì có một thành phần của nó được tạo ra từ một số ngẫu nhiên và cái số ngẫu nhiên này phải được giữ bí mật. Cái số ngẫu nhiên này mà bị lộ ra ngoài là các cụ hoặc công ty của các cụ có thể sẽ bị giả mạo chữ ký. Cho nên DSA có lợi thế là tạo mã và giải mã nhanh hơn RSA nhưng bảo mật thì nói chung là yếu hơn chứ không bằng.
P/s: tối rảnh em sẽ trả lời câu hỏi đầu của cụ uman là mất mạng thì làm ăn kiểu gì.
Em chỉ không hiểu là khi đi tới cơ quan nào , ví dụ, nơi không có mạng, chìa cái tờ giấy in từ máy in ra, bảo với người ta rằng có chữ ký số rồi, mà họ thấy chỗ quen thường nhìn chẳng chữ ký, chẳng dấu má gì, thì làm việc ra sao?
Em thì từng vớ được mấy cái file .xml mà muốn đọc với xuất ra .pdf để in thì phải dùng cái phần mềm itaxviewer từ tổng cục thuế. Thế nên khi bình thường (mạng mẽo đầy đủ) mở ra thì nó như thế này (tất nhiên là em sẽ xóa tên công ty vì ko liên quan)
Nếu khi mở file này mà không có mạng internet thì nó sẽ thế này. Tức là phần mềm vẫn xác thực nội dung của tờ khai là chính xác không bị sửa đổi, và chữ ký là của công ty gửi. Tuy chưa kể kết nối được với đơn vị xác thực để xác định rõ có đúng công ty này tồn tại hay không.
Nếu nghịch ngợm sửa mấy cái chữ ký với hàm băm trong file .xml rồi cho vào itaxviewer thì nó như này
Nếu muốn xem ai chứng thực với đơn vị cấp chứng thực thì nó ra cái này. Cái lỗi nó báo tức là cái đường link dẫn đến đơn vị chứng thực đã ngỏm (hoặc là đơn vị chứng thực đổi link khác để xác thực chữ ký số hoặc đơn vị chứng thực đã tèo như cái tên em). Trường hợp này là đổi link khác vì thằng newCA này em nghĩ nó là công ty bố mẹ của 2 thằng newtel-CA với FastCA mà cụ đã đưa ở post 1.
Vậy tức là khi cụ đến làm việc mà chỗ đó ở vùng xấu vùng xa không có internet thì ít nhất cái phần mềm này nó cũng vẫn có thể xác thực được cho cụ là công ty đối tác đã ký cái văn bản này dù không kết nối được với đơn vị chứng thực.
Em nghĩ các phần mềm khác nó như hóa đơn điện tử hay hợp đồng điện tử cũng dùng cơ chế tương tự khi mất net. Koặc không thì không có mạng khỏi làm việc, đi nhậu cho lành cụ ạ. Nhưng phải lưu ý là nếu là file .pdf đã được xuất ra từ itaxviewer hay nói chung là các phần mềm hóa đơn điện tử hay gì đấy thì khi mở file .pdf ra thì lúc nào cũng sẽ thấy chữ ký số cty ở dạng bình thường như ảnh 1. Nếu sửa pdf thì nó cũng sẽ báo lỗi chữ ký đỏ lòm như ảnh 3.
@chang-co-ten: Bẩm cụ, về lý thuyết, chữ ký số được coi là hợp lệ (xác thực) nếu:
a. Nó có sẵn trong kho chữ ký của phần mềm dùng để xác thực, hoặc
b. Nó có thể giải mã được bằng... 1 chữ ký số khác cấp cao hơn, có sẵn trong kho chữ ký của phần mềm dùng để xác thực
*
Về chữ ký số, em xin bổ sung giải thích theo kiểu dân dã, không đi sâu vào thuật toán cho các cụ đỡ đau đầu. Giải thích này em chủ yếu cóp nhặt từ giải thích của các thành viên trên Stackoverflow, một số là ý kiến chủ quan từ kinh nghiệm của em.
1. Việc dùng chữ ký số để XÁC THỰC thông tin NGƯỢC với việc MÃ HOÁ thông tin mà chúng ta vẫn quen thuộc.
MÃ HOÁ thông tin: Thông tin là bí mật. Nhiệm vụ của mã hoá thông tin là làm cho thông tin đấy không thể đọc được đối với những người không có thẩm quyền.
KÝ SỐ: Thông tin là công khai. Nhiệm vụ của ký số là chứng minh/ bảo đảm rằng nguồn gốc thông tin đến từ Người ký.
2. HASH, Băm, hay là số định danh của thông tin (ID thông tin)
Mỗi thông tin, ví dụ một dãy ký tự: "Nguyễn Văn A, ngày sinh 1-1-1955, quê quán tỉnh X, huyện Y, xã Z...." có thể được đặc trưng bởi 1 chuỗi ký tự RÚT GỌN, DUY NHẤT (gần như). Chuỗi ký tự RÚT GỌN đó giống như số định danh của thông tin.
Đó chính là khái niệm HASH hay Băm mà cụ Tèo nói ở trên, nhưng gọi thế nó khó hình dung. Em tạm gọi là ID thông tin hay số định danh của thông tin.
3. Mã bí mật và mã công khai (Private key và Public Key) trong ký số:
Trong việc ký số:
- Mã bí mật là cái Ổ KHOÁ (dùng để mã hoá ID thông tin). Ổ khoá chỉ CHÍNH CHỦ Chữ ký tiếp cận được, kể cả tổ chức cung cấp/bán chữ ký số cũng không biết Mã bí mật này.
- Mã công khai là cái CHÌA KHOÁ (dùng để giải mã ra ID thông tin). Chìa khoá này ai cũng có nó được đính kèm chữ ký số.
Sự ví von này chỉ là gần đúng, nó NGƯỢC với cách dùng Ổ khoá và Chìa khoá vật lý.
*
Khi em mua chữ ký số (OV Code signing) cho phần mềm thì cặp Private key (Ổ KHOÁ) và Public Key (CHÌA) được sinh ra TRÊN MÁY TÍNH CỦA EM. Em chỉ cung cấp Public key (Chìa) cho đại lý bán chữ ký số. Private key (Ổ khoá) phải lưu lại ở máy nhà.
Khi nào đại lý cấp "phôi" chữ ký (tạo ra từ Public key, tên tuổi, địa chỉ... của em), em phải dùng 1 phần mềm khác do đại lý cung cấp để ráp Private key (Ổ KHOÁ) với "phôi" tạo thành chữ ký số hoàn chỉnh.
4. Ví dụ về cơ chế của việc ký số:
Dữ liệu đầu vào: 1 file (văn bản, phim hay bộ cài phần mềm) và Mã bí mật (Private key)
Quá trình thực hiện việc ký số:
+ Tính ID (hay là HASH, hoặc Băm) của file
+ Mã hoá ID file. Em nhắc lại, chỉ mã hoá ID của file chứ KHÔNG mã hoá cả cái file to đùng.
+ Đính kèm thông tin mã hoá "ID của file" này với file
+ Đính kèm Mã công khai (chữ ký số của người ký) với file
Vậy là xong việc ký
5. Cơ chế xác thực nguồn gốc thông tin
Dữ liệu đầu vào: 1 file đã ký (bao gồm File, ID của file sau mã hoá và Chữ ký số (trong đó bao gồm Mã công khai (Public key)) của người ký)
Quá trình xác thực nguồn gốc file:
+ Từ File => Tính ID (hay là HASH, hoặc Băm) của file (ra ID1)
+ Từ ID của file sau mã hoá và chữ ký số đi kèm => Giải mã ID của file, sử dụng mã công khai đính kèm chữ ký số (ra ID2)
+ So sánh ID1 với ID2, chúng phải GIỐNG nhau ==> KẾT LUẬN 1: THÔNG TIN KHỚP với "ID THÔNG TIN" và KHỚP CHỮ KÝ đính kèm
+ Xác minh nguồn gốc Chữ ký số đính kèm file: Chữ ký đó phải (a) có trong kho của Phần mềm xác thực chữ ký, hoặc
(b) giải mã và xác thực được bằng chữ ký số khác cấp cao hơn có sẵn trong kho của phần mềm xác thực chữ ký ==> KẾT LUẬN 2: CHỮ KÝ HỢP LỆ
Từ KẾT LUẬN 1 và KẾT LUẬN 2 rút ra file này "Chuẩn".
5. Chúng ta vẫn va chạm với chữ ký số... hàng ngày, hàng giờ
SSL Certificate: Chữ ký số của trang web. Thỉnh thoảng các cụ thấy Google Chrome ngăn cản truy cập vào 1 số trang "KHÔNG AN TOÀN". Lý do phổ biến là vì các trang này không được ký số, hoặc đã ký bằng chữ số nhưng ... hết hạn
Windows: Chữ ký số của phần mềm. Khi mở file cài phần mềm, các cụ sẽ thấy Windows bắn ra 1 cái cửa sổ: Open file - Security Warning. Thường là chúng ta nhắm mắt bỏ qua. Nhưng nếu đọc kỹ, sẽ thấy sự khác biệt. File chưa ký: Tác giả không rõ (Unknown Publisher), lá chắn màu đỏ; File đã ký: Có tên tác giả, lá chắn màu vàng.
6. Chữ ký số ...mất tiền và có thời hạn
Bất kỳ ai có máy tính đều có thể đẻ ra vô số cặp Public key - Private key. Nói cách khác, chi phí sản xuất chữ ký số gần như = 0.
Tuy nhiên, làm sao để người khác công nhận chữ ký của mình lại không đơn giản.
Để được công nhận, ông chủ của chữ ký phải có đủ UY TÍN, uy tín đến từ sự công nhận của số đông
Ví dụ:
- Microsoft mắt nhắm mắt mở cho chúng ta dùng Windows gần như "miễn phí", trong Windows có chứa sẵn chữ ký gốc (Root Certificate) và các chữ ký thứ cấp của các tổ chức được họ cấp quyền bán chữ ký. Các cụ dùng Windows tức là gián tiếp công nhận các chữ ký đó. Các chữ ký "có nguồn gốc" Windows được thực hiện các tác vụ trong Windows (cài phần mềm, chỉnh sửa phần mềm, chỉnh sửa file hệ thống....).
Giá của chữ ký 1 năm loại rẻ nhất (cách đây đây 4 tháng) vào khoảng 60-80$ (loại EV Code signing dùng để ký thư viện/ bộ cài phần mềm bán cho các nhân). Hồi tháng 3, em mua chữ ký 3 năm hết 142$. Bây giờ check lại, vẫn đại lý đó nó tăng mịe giá lên 680$/ 3 năm. Hút máu kinh.
- Google Chrome là miễn phí. Trong bộ cài Google Chrome cũng có sẵn kho chữ ký gốc và chữ ký thứ cấp của các tổ chức được cấp quyền bán chữ ký. Trang web nào không chịu ký bằng chữ ký do các tổ chức được uỷ quyền này bán thì Chrome CHẶN không cho hiển thị. Khi các cụ dùng Google Chrome là gián tiếp công nhận quyền CHẶN của Chrome. Hàng năm, kho chữ ký của Chrome liên tục thay đổi. Nên chữ ký cũng phải gia hạn (mua lại) theo năm; anh nào dại mua chữ ký có hạn 3 năm thì coi như ném 2 năm tiền qua cửa sổ (Cái này là em đọc được trên Quora, Reddit ... chứ chưa tận mắt thấy)
Cám ơn cụ đã giải thích. Nhưng cụ cho e hỏi nốt 1 vấn đề này. Cái này nó liên quan đến cv của em. Nhiều khi e phải tiếp nhận nhưng Qđ , thông báo, hdlđ của các công ty mà dùng chữ ký số mà không biết làm thế nào để xác thực đc đó là chữ ký số hợp pháp . Ví như con dấu hay tên DN thì em còn tìm trên wed của sở kế hoạch đầu tư hay giấy xác nhận thành lập công ty. Còn chữ ký số thì e vẫn chưa biết xác thực nó từ nguồn nào . Mong cụ chỉ bảo cho e xem e sẽ vào nguồn nào để kiểm tra đc tính hợp pháp của con dấu và chữ ký số đó ạ
Cám ơn cụ đã giải thích. Nhưng cụ cho e hỏi nốt 1 vấn đề này. Cái này nó liên quan đến cv của em. Nhiều khi e phải tiếp nhận nhưng Qđ , thông báo, hdlđ của các công ty mà dùng chữ ký số mà không biết làm thế nào để xác thực đc đó là chữ ký số hợp pháp . Ví như con dấu hay tên DN thì em còn tìm trên wed của sở kế hoạch đầu tư hay giấy xác nhận thành lập công ty. Còn chữ ký số thì e vẫn chưa biết xác thực nó từ nguồn nào . Mong cụ chỉ bảo cho e xem e sẽ vào nguồn nào để kiểm tra đc tính hợp pháp của con dấu và chữ ký số đó ạ
Cụ nhận dưới dạng file nào ạ? PDF, XML, ảnh chụp? Nếu là file ảnh chụp thì bỏ ngay và luôn cụ nhé. PDF với xml thì cụ có thể ném lên đây cho họ kiểm tra
