มาตรฐานรักษาความปลอดภัย S/MIME

          S/MIME (Secure/Multipurpose Internet Main Extensions) เป็นมาตรฐานการเข้ารหัสเมล์แบบพับลิกคีย์เอ็นคริพชัน ที่ใช้สำหรับเซ็นชื่อแบบดิจิตอลลงในอีเมล์ S/MIME พัฒนาโดยบริษัท RSA Data Security inc ตามมาตรฐาน PKCS#7 ในปี 1995 ซึ่งเป็นเวอร์ชันแรก และต่อมามีการพัฒนาเวอร์ชัน 2 ในปี 1998 ซึ่งได้อธิบายใน RFC 2311 แต่เวอร์ชันนี้มีข้อจำกัดหลายอย่าง เช่น ความยาวของคีย์ไม่เกิน 40 บิต ซึ่งอาจมีสาเหตุมาจากสหรัฐพยายามที่จะป้องกันการส่งออกผลิตภัณฑ์ที่มีการเข้ารหัสที่แข็งแกร่ง ต่อมาได้พัฒนาต่อโดย IETF ซึ่งก็เป็นเวอร์ชัน 3 ในปี 2002 โดยอธิบายใน RFC 3369 ปัจจุบันก็ได้กลายเป็นมาตรฐานอุตสาหกรรมในการเข้ารหัสอีเมล์ โดยปัจจุบันมีมาถึง Version 3.2

• RFC3851 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification    
• RFC3850 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Certificate Handling      
• RFC 5751: Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2  Message Specification    
•  RFC2631 Diffie-Hellman Key Agreement Method

                S/MIME ใช้สำหรับเข้ารหัสอีเมล์โดยให้บริการในด้านการพิสูจน์ทราบตัวตน การรักษาความคงสภาพของข้อมูลและการปฏิเสธแหล่งที่มา ซึ่งจะใช้ดิจิตอลซิกเนเจอร์พร้อมทั้งการรักษาความลับของข้อมูลโดยการเข้ารหัสข้อความในอีเมล์ ฟังก์ชันของ S/MIME นั้นได้อินทริเกต เข้ากับโปรแกรมอีเมล์ที่ใช้งานทั่วไป อย่างเช่น Outlook, Outlook Express, Lotus Notes, Mozilla Mail เป็นต้น

                การที่จะใช้ S/MIME ในโปรแกรมอีเมล์ที่กล่าวข้างต้นนั้น จำเป็นจะต้องตั้งคีย์และเซอร์ติฟิเกตหรือใบรับรองอิเล็กทรอนิกส์จาก CA (Certificate Authority) ซึ่งองค์กรอาจจะตั้งเซิร์ฟเวอร์เองหรืออาจร้องขอจาก CA ที่ให้บริการบนอินเตอร์เน็ต เช่น Thawte (http://www.thawte.com) และ Verisign  (http://www.verisign.com)  ก็ได้ ในการเข้ารหัสอีเมล์นั้นผู้ส่งก็จำเป็นต้องมีเซอร์ติฟิเกตของผู้รับด้วย โดยพื้นฐานแล้วการพิสูจน์ทราบตัวตนจะใช้เฉพาะอีเมล์แอดเดรสเท่านั้น CA อาจจะประกาศเซอร์ติฟิเกตและข้อมูลอื่นเกี่ยวกับสมาชิกไว้บนเว็บเพื่อสำหรับการอ้างอิงและตรวจสอบแต่ก็มีข้อเสียคือใครก็ได้อาจใช้ชื่อและอีเมล์ของเจ้าของนั้นเพื่อจุดประสงค์อย่างอื่นก็ได้

                MIME  Multipurpose Internet Mail Extensions and และ Secure MIME (S-MIME) ทำงานในชั้น Application layer หรือ ชั้นโปรแกรมประยุกต์ เป็นชั้นลำดับที่ 7 จาก 7 ชั้น ใน OSI Model. เป็นการเชื่อมต่อระหว่างจุดสองจุดโดยตรงเพื่อที่จะทำการบริการผ่านโปรแกรม ประยุกต์; และยังต้องแจกจายคำร้องไปยังชั้นนำเสนอ (Presentation Layer) อีกด้วย  ชั้นโปรแกรมประยุกต์ ยังเหมือนกับชั้นที่ 4 และ 5 ใน TCP/IP Model

ที่มารูป : http://pst.libre.lu/mssi-luxmbg/p3/fig2.png

สรุปหลักๆ S/MIME   คือ 

Ø ใช้ร่วมกับลายเซ็นต์ดิจิทัล

Ø เพื่อพิสูจน์ทราบตัวจริง

Ø การรักษาความคงสภาพของข้อมูล

Ø การปฏิเสธแหล่งที่มา

Ø ใช้กับโปรแกรมทั่วไปเช่น Outlook Express, Lotus Note, Mozilla Thunderbird

Ø ลายเซ็นต์ดิจิทัลต้องได้รับการรับรองจาก CA (Certificate Authority)

Ø พิสูจน์ทราบตัวจริงจาก E-Mail AddressØ มาตรฐานที่ใช้ ในการเข้ารหัสเช่น  - แฮชฟังชั่น : SHA-1 หรือ MD5  ฟังก์ชันแฮชเข้ารหัส (cryptographic hash function) คือฟังก์ชันแฮชที่ใช้ เพื่อจุดประสงค์ในด้านความปลอดภัยของสารสนเทศ อาทิการยืนยันตนเพื่อเข้าสู่ระบบ  (authentication) หรือการตรวจสอบความถูกต้องสมบูรณ์ของเนื้อหาข้อมูล อาทิ SHA-1, MD5 หรือ CRC32 เป็นต้น

 

 

- ลายเซ็นต์ดิจิทัล :DSS หรือ RSA
                -  สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ได้พัฒนา มาตรฐานลายมือชื่อดิจิตอล (Digital Signature Standard: DSS) สำหรับการดำเนินการเกี่ยวกับลายมือชื่อดิจิตอลขึ้น ชื่อ PUB 186 ในปี ค.ศ. 1991  และได้มีการแก้ไขปรับปรุงในปี ค.ศ. 1993 และ 1996

                - ขั้นตอนวิธีลายมือชื่อดิจิตอล (Digital Signature Algorithm : DSA) โดย DSA แล้วใช้เพื่อดำเนินการลายมือชื่อดิจิตอลให้กับข้อความเพียงอย่างเดียว

                - ขั้นตอนวิธี RSA คือ เข้ารหัสข้อความและยังสามารถนำมาใช้เพื่อดำเนินการลายมือชื่อดิจิตอลให้กับข้อความได้

                - การเข้ารหัสข้อความ :3DES ,AES
                เนื่องมาจากความเริ่มล้าสมัยของการเข้ารหัสมาตรฐาน DES รวมไปถึงข้อจำกัดความต้องการทรัพยากรในการประมวลผลที่ค่อนข้างสูงของการเข้ารหัสแบบ 3DES สถาบันกำหนดมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (The National Institute of Standards and Technology – NIST) จึงได้เสนอมาตรฐานใหม่ของการเข้ารหัสลับขั้นสูง ชื่อว่า AES (Advanced Encryption Standard) ซึ่งมีประสิทธิภาพดีเพียงพอทั้งในแง่ของพลังในการประมวลผล และความต้องการหน่วยความจำสำรอง (RAM) ที่เหมาะสม สามารถประยุกต์ใช้ได้กับสิ่งอุปกรณ์หลากหลายประเภท รวมไปถึงเครื่องโทรศัพท์มือถือระบบเซลลูล่าร์ และเครื่องมือประเภทเลขาส่วนตัวดิจิตอล ที่สมัยนี้อาจจจะเรียกกันว่า มือถืออัจฉริยะ หรือพีดีเอโฟน (PDAs) นั่นเอง ตอนนี้ ขอให้นักศึกษาพิจารณาตารางสรุปเปรียบเทียบระหว่างการเข้ารหัสแบบ DES, 3DES, และ AES ดังแสดงไว้ในรูป

- MAC : HMAC พร้อมด้วย SHA-1            

- ความสำคัญของ MAC : Message Authentication Code

1. ทำให้ผู้รับมั่นใจได้ว่า ข้อความที่ส่งมาไม่ถูกเปลี่ยนแปลง

2. ทำให้ผู้รับมั่นใจได้ว่า ข้อความที่ส่งมานั้นมาจากผู้ส่งที่ติดต่อด้วยจริง ๆ

- MAC คล้ายกับการดำเนินการเข้ารหัสข้อความ แต่ การเข้ารหัสลับด้วยกุญแจแบบสมมาตรนั้น จะมีขั้นตอนในการถอดรหัสข้อความ ซึ่งการทำงานจะตรงข้ามกัน สำหรับ MAC ทั้งผู้ส่งและผู้รับดำเนินการเข้ารหัสข้อความอย่างเดียว ดังนั้น ขั้นตอนวิธีของ MAC จึงเป็นเพียงฟังก์ชันทางเดียว (one-way function)

HMAC

- Hash-based Message Authentication Code 

- นำมาใช้ในกับ

1. โปรโตคอลความปลอดภัยของข้อมูลบนอินเตอร์เน็ต (Internet Protocol (IP) security) และ

2. โปรโตคอล SSL (Secure Socket Layer (SSL) protocol)

      

 อ้างอิง

จตุชัย แพงจันทร์. (2553) .Master in security .2^nd edition. บริษัท ไอดีซี พรีเมียร์ จำกัด  

ความปลอดภัยในการใช้งานอีเมล์  http://www.science.cmru.ac.th/sciblog_v2/blfile/75_s180814035234.doc 

ระบบอีเมล(e-mail) แบบลึก ๆ ตอนที่ 2  http://www.nextproject.net/contents/?00038  

เข้ารหัสลับข้อความโดยใช้ S/MIME ใน Outlook Web App  http://office.microsoft.com/th-th/web-apps-help/HA104209995.aspx  

PKI applications (C2)  http://pst.libre.lu/mssi-luxmbg/p3/03_ipsec-idm-art.html  

S/MIME   http://en.wikipedia.org/wiki/S/MIME 

บทที่ 6 ลายมือชื่อดิจิตอลและฟังก์ชันแฮช  http://staff.cs.psu.ac.th/ladda/subjects/344-484/ppt/Chapter6_1.ppt

 

SHARE

Southern Man

This blog www.whoknown.com ,write to prevent forgotten .