มาตรฐานรักษาความปลอดภัย S/MIME



          S/MIME (Secure/Multipurpose Internet Main Extensions) เป็นมาตรฐานการเข้ารหัสเมล์แบบพับลิกคีย์เอ็นคริพชัน ที่ใช้สำหรับเซ็นชื่อแบบดิจิตอลลงในอีเมล์ S/MIME พัฒนาโดยบริษัท RSA Data Security inc ตามมาตรฐาน PKCS#7 ในปี 1995 ซึ่งเป็นเวอร์ชันแรก และต่อมามีการพัฒนาเวอร์ชัน 2 ในปี 1998 ซึ่งได้อธิบายใน RFC 2311 แต่เวอร์ชันนี้มีข้อจำกัดหลายอย่าง เช่น ความยาวของคีย์ไม่เกิน 40 บิต ซึ่งอาจมีสาเหตุมาจากสหรัฐพยายามที่จะป้องกันการส่งออกผลิตภัณฑ์ที่มีการเข้ารหัสที่แข็งแกร่ง ต่อมาได้พัฒนาต่อโดย IETF ซึ่งก็เป็นเวอร์ชัน 3 ในปี 2002 โดยอธิบายใน RFC 3369 ปัจจุบันก็ได้กลายเป็นมาตรฐานอุตสาหกรรมในการเข้ารหัสอีเมล์ โดยปัจจุบันมีมาถึง Version 3.2

  • RFC3851 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification    
  • RFC3850 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Certificate Handling      
  • RFC 5751: Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2  Message Specification    
  •  RFC2631 Diffie-Hellman Key Agreement Method

                S/MIME ใช้สำหรับเข้ารหัสอีเมล์โดยให้บริการในด้านการพิสูจน์ทราบตัวตน การรักษาความคงสภาพของข้อมูลและการปฏิเสธแหล่งที่มา ซึ่งจะใช้ดิจิตอลซิกเนเจอร์พร้อมทั้งการรักษาความลับของข้อมูลโดยการเข้ารหัสข้อความในอีเมล์ ฟังก์ชันของ S/MIME นั้นได้อินทริเกต เข้ากับโปรแกรมอีเมล์ที่ใช้งานทั่วไป อย่างเช่น Outlook, Outlook Express, Lotus Notes, Mozilla Mail เป็นต้น
                การที่จะใช้ S/MIME ในโปรแกรมอีเมล์ที่กล่าวข้างต้นนั้น จำเป็นจะต้องตั้งคีย์และเซอร์ติฟิเกตหรือใบรับรองอิเล็กทรอนิกส์จาก CA (Certificate Authority) ซึ่งองค์กรอาจจะตั้งเซิร์ฟเวอร์เองหรืออาจร้องขอจาก CA ที่ให้บริการบนอินเตอร์เน็ต เช่น Thawte (http://www.thawte.com) และ Verisign  (http://www.verisign.com)  ก็ได้ ในการเข้ารหัสอีเมล์นั้นผู้ส่งก็จำเป็นต้องมีเซอร์ติฟิเกตของผู้รับด้วย โดยพื้นฐานแล้วการพิสูจน์ทราบตัวตนจะใช้เฉพาะอีเมล์แอดเดรสเท่านั้น CA อาจจะประกาศเซอร์ติฟิเกตและข้อมูลอื่นเกี่ยวกับสมาชิกไว้บนเว็บเพื่อสำหรับการอ้างอิงและตรวจสอบแต่ก็มีข้อเสียคือใครก็ได้อาจใช้ชื่อและอีเมล์ของเจ้าของนั้นเพื่อจุดประสงค์อย่างอื่นก็ได้

                MIME  Multipurpose Internet Mail Extensions and และ Secure MIME (S-MIME) ทำงานในชั้น Application layer หรือ ชั้นโปรแกรมประยุกต์ เป็นชั้นลำดับที่ 7 จาก 7 ชั้น ใน OSI Model. เป็นการเชื่อมต่อระหว่างจุดสองจุดโดยตรงเพื่อที่จะทำการบริการผ่านโปรแกรม ประยุกต์; และยังต้องแจกจายคำร้องไปยังชั้นนำเสนอ (Presentation Layer) อีกด้วย  ชั้นโปรแกรมประยุกต์ ยังเหมือนกับชั้นที่ 4 และ 5 ใน TCP/IP Model


สรุปหลักๆ S/MIME   คือ 
Ø ใช้ร่วมกับลายเซ็นต์ดิจิทัล
Ø เพื่อพิสูจน์ทราบตัวจริง
Ø การรักษาความคงสภาพของข้อมูล
Ø การปฏิเสธแหล่งที่มา
Ø ใช้กับโปรแกรมทั่วไปเช่น Outlook Express, Lotus Note, Mozilla Thunderbird
Ø ลายเซ็นต์ดิจิทัลต้องได้รับการรับรองจาก CA (Certificate Authority)
Ø พิสูจน์ทราบตัวจริงจาก E-Mail AddressØ มาตรฐานที่ใช้ ในการเข้ารหัสเช่น  - แฮชฟังชั่น : SHA-1 หรือ MD5  ฟังก์ชันแฮชเข้ารหัส (cryptographic hash function) คือฟังก์ชันแฮชที่ใช้ เพื่อจุดประสงค์ในด้านความปลอดภัยของสารสนเทศ อาทิการยืนยันตนเพื่อเข้าสู่ระบบ  (authentication) หรือการตรวจสอบความถูกต้องสมบูรณ์ของเนื้อหาข้อมูล อาทิ SHA-1, MD5 หรือ CRC32 เป็นต้น

 
 
- ลายเซ็นต์ดิจิทัล :DSS หรือ RSA
                - 
สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST) ได้พัฒนา มาตรฐานลายมือชื่อดิจิตอล (Digital Signature Standard: DSS) สำหรับการดำเนินการเกี่ยวกับลายมือชื่อดิจิตอลขึ้น ชื่อ PUB 186 ในปี ค.ศ. 1991  และได้มีการแก้ไขปรับปรุงในปี ค.ศ. 1993 และ 1996
                - ขั้นตอนวิธีลายมือชื่อดิจิตอล (Digital Signature Algorithm : DSA) โดย DSA แล้วใช้เพื่อดำเนินการลายมือชื่อดิจิตอลให้กับข้อความเพียงอย่างเดียว
                - ขั้นตอนวิธี RSA คือ เข้ารหัสข้อความและยังสามารถนำมาใช้เพื่อดำเนินการลายมือชื่อดิจิตอลให้กับข้อความได้


                - การเข้ารหัสข้อความ :3DES ,AES
                เนื่องมาจากความเริ่มล้าสมัยของการเข้ารหัสมาตรฐาน DES รวมไปถึงข้อจำกัดความต้องการทรัพยากรในการประมวลผลที่ค่อนข้างสูงของการเข้ารหัสแบบ 3DES สถาบันกำหนดมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (The National Institute of Standards and Technology – NIST) จึงได้เสนอมาตรฐานใหม่ของการเข้ารหัสลับขั้นสูง ชื่อว่า AES (Advanced Encryption Standard) ซึ่งมีประสิทธิภาพดีเพียงพอทั้งในแง่ของพลังในการประมวลผล และความต้องการหน่วยความจำสำรอง (RAM) ที่เหมาะสม สามารถประยุกต์ใช้ได้กับสิ่งอุปกรณ์หลากหลายประเภท รวมไปถึงเครื่องโทรศัพท์มือถือระบบเซลลูล่าร์ และเครื่องมือประเภทเลขาส่วนตัวดิจิตอล ที่สมัยนี้อาจจจะเรียกกันว่า มือถืออัจฉริยะ หรือพีดีเอโฟน (PDAs) นั่นเอง ตอนนี้ ขอให้นักศึกษาพิจารณาตารางสรุปเปรียบเทียบระหว่างการเข้ารหัสแบบ DES, 3DES, และ AES ดังแสดงไว้ในรูป

- MAC : HMAC พร้อมด้วย SHA-1            
- ความสำคัญของ MAC : Message Authentication Code
1. ทำให้ผู้รับมั่นใจได้ว่า ข้อความที่ส่งมาไม่ถูกเปลี่ยนแปลง
2. ทำให้ผู้รับมั่นใจได้ว่า ข้อความที่ส่งมานั้นมาจากผู้ส่งที่ติดต่อด้วยจริง ๆ
- MAC คล้ายกับการดำเนินการเข้ารหัสข้อความ แต่ การเข้ารหัสลับด้วยกุญแจแบบสมมาตรนั้น จะมีขั้นตอนในการถอดรหัสข้อความ ซึ่งการทำงานจะตรงข้ามกัน สำหรับ MAC ทั้งผู้ส่งและผู้รับดำเนินการเข้ารหัสข้อความอย่างเดียว ดังนั้น ขั้นตอนวิธีของ MAC จึงเป็นเพียงฟังก์ชันทางเดียว (one-way function)
HMAC
- Hash-based Message Authentication Code 
- นำมาใช้ในกับ
1. โปรโตคอลความปลอดภัยของข้อมูลบนอินเตอร์เน็ต (Internet Protocol (IP) security) และ
2. โปรโตคอล SSL (Secure Socket Layer (SSL) protocol)
      


 อ้างอิง


จตุชัย แพงจันทร์. (2553) .Master in security .2nd edition. บริษัท ไอดีซี พรีเมียร์ จำกัด  
ความปลอดภัยในการใช้งานอีเมล์  http://www.science.cmru.ac.th/sciblog_v2/blfile/75_s180814035234.doc 
ระบบอีเมล(e-mail) แบบลึก ๆ ตอนที่ http://www.nextproject.net/contents/?00038  
เข้ารหัสลับข้อความโดยใช้ S/MIME ใน Outlook Web App  http://office.microsoft.com/th-th/web-apps-help/HA104209995.aspx  
บทที่ 6 ลายมือชื่อดิจิตอลและฟังก์ชันแฮช  http://staff.cs.psu.ac.th/ladda/subjects/344-484/ppt/Chapter6_1.ppt
 


Advertisement

Advertisement
    Blogger Comment
    Facebook Comment

0 ความคิดเห็น:

แสดงความคิดเห็น