RE: hỏi về RSA

Hai bác Crazy và acb đi đâu rồi? hãy vào đây tiếp tục tranh luận cho ra lẽ đi chứ

Thấy cãi nhau thế này tôi cũng xin góp tí cho vui.

Thực ra dùng VASC CA hay bất cứ CA nào tự tạo cũng được, về mặt kỹ thuật là giống nhau, nhưng sẽ gây bất tiện cho khách hạng ACB sẽ phải bắt khách hàng của mình bằng 1 cách tin cậy nào đó import cái CA đã chứng nhận cho website của mình vào trình duyệt để nó biết đó là CA tin cây. Và khi đó nếu có bị phising, khách hàng sẽ được cảnh báo liền. Cách tin cậy nhất có thể là mang máy đến tận NH ACB để làm việc đó. Chứ import từ website (cả từ VASC lẫn ACB) chẳng thể có được sự tin cậy nhất đinh. Đó chính là điểm dở nhất nếu dùng CA kiểu này, gây phiền hà và giảm chất lượng dịch vụ cho khách hàng (họ phải lưu trữ cái CA tự cấp một cách cẩn thận, nếu chuyển máy tính, họ sẽ phải làm cái việc import lại). Cái dốt nát của ACB là cũng 1 cái quy trình bắt khách hàng dùng e-Banking phải tin cậy CA tự chế này, họ tự chế lấy CA thì cũng giống như VASC chế ra CA, khách hàng đều bị ép phải tin vào cái CA tự chế (ABC hay VASC như nhau cả), lại mất tiền mua. Ở VN có VDC CA chính là CA được quốc tế công nhận, đồng thời được một doanh nghiệp tầm cỡ (to hơn VASC, cùng mẹ là VNPT) là VDC chứng nhận. VN do chưa công nhận chữ ký điện tử nên đó là chọn lựa khôn ngoan nhất.
Các CA như Verisign, họ đã được tin cậy (không chỉ cái trình duyệt tin, mà còn được luật pháp bảo hộ nữa) và được import bởi các nhà sản xuất phần mềm, người dùng có thể an tâm với CA có sẵn nếu nhận phần mềm theo cách chính thống (tin vào trình duyệt thì cũng nên tin vào CA của nó).
VASC CA hay bất cứ một CA nào đó của VN, sẽ tự động được các nhà sx trình duyệt import nếu như Luật pháp và Chính phủ VN công nhận cái thẩm quyền cấp CA của VASC, và xác nhận rằng VASC CA hoàn toàn được tin cậy trong lãnh thổ VN và được bảo hộ trong quan hệ giao dịch thương mại điện tử quốc tế được chứng nhận bởi VASC. Mà điều này thì VASC chưa có được.

RE: hỏi về RSA

Hai bác Crazy và acb đi đâu rồi? lâu lắm rồi không thấy các bác trở lại forum này đàm đạo nhỉ?

RE: hỏi về RSA

tiếp đi chứ các bác. Những thuật toán ElGamal với cả Diffie-Hellman thì bi j còn phổ biến kg các bác??? Hay là hầu như sang hết RSA rùi ạ?

RE: hỏi về RSA

OneLove,

ElGamal & Diffie-Hellman là hai giải thuật dùng để tạo ra session key cho symmetric algorithm dùng trong VPN

ElGamal & Diffie-Hellman chỉ dùng để tạo ra session key chứ nó không dùng để encrypt và decrypt data trong VPN, thông thường các session key thường được thiết lập lại sau mỗi 60 phút, có nghĩa là nếu ai đó có khả năng crack được secret key của VPN link thì một tiếng đồng hồ sau đó secret key đó sẽ vô giá trị vì nó đã bị đổi nhờ Diffie-Hellman hay ElGamal

RE: hỏi về RSA

ơ bác ơi, em tưởng DH và EL là dùng trong Asymmetric chứ.
DH là giao thức được sử dụng trong việc key exchange
còn El là 1 public key cipher.
em tham khảo mấy cái đấy ở đây

có gì sai nhờ bác chỉ bảo. :wink:

RE: hỏi về RSA

Trong cái link đó người ta nghi như thế này phải không?
...
The ElGamal public-key cipher. This is a straightforward extension of Diffie/Hellman's original idea on shared secret generation. Essentially, it generates a shared secret and uses it as a one-time pad to encrypt one block of data. ElGamal is the predecessor of DSS and is perfectly usable today, although no widely known standard has been created for it.
...

Lý do mà người ta không dùng nó để encrypt và decrypt data như RSA chính là vì chiều dài mã hóa của data sinh ra quá lớn (thông thường gấp đôi chiều dài message ban đầu :cry: ) nên trong thực tế chỉ sử dụng ElGamal để tạo session key cho symmetric algorithm dùng trong VPN

bác có thể nói rõ hơn về việc tạo session key kg???
Nó encrypt các session hay là gì hả bác???
thanx bác!

RE: hỏi về RSA

Hi OneLove,

Nói nôm na như thế này cho dễ hiểu: session key chính là secret key mà nó có thể thay đổi được theo thời gian

Tham khảo thêm ở đây

RE: hỏi về RSA

VASC-CA thật là vô dụng CRL tám đời không phát hành. Còn nữa, đợt vừa rồi khi tôi định lấy VASC-CA làm 1 ví dụ cho sinh viên xem việc triển khai PKI dễ dẫn đến sai thế nào thì cái site đó lại chết ngóm, làm tôi xấu hết cả măt. x.509 mà k0 có CRL thì còn gọi quái gì là đảm bảo nữa. Tóm lại thì cái chứng chỉ VASC-CA cấp cho ACB trở thành đồ vứt đi. ACB đi mua chứng chỉ của VASC thật là phí tiền.

Ngoài ra còn 4 điểm yếu tệ hại nữa nhưng tôi không nói ra đâu, khi nào đấu thầu PKI đụng phải VASC-CA lúc đó mới nói ra xem VASC-CA còn có tư cách và thể diện gì để đứng ra làm CA không.

Mà các bác ở đây không phát hiện ra được các điểm yếu đó thì cũng đừng tự cho là mình thạo PKI nhé.

RE: hỏi về RSA

Bác metalari ạ,

Bác có biết là trong cái thread này chỉ có một cái đơn giản là chỉ ra cái sai cơ bản trong việc chọn nhà cung cấp Certificates thế mà tôi đã phải cực khổ như thế nào rồi đấy, vì có một số bác nhà ta tự ái dân tộc quá mức mà không thấy ra cái sai của mình cứ khăng khăng cho là người VN dùng hàng VN, có bác khi nói về VPN mà không phân biệt được khi nào thì dùng symmetric, khi nào thì dùng asymmetric algorithm, và còn ngớ ngẩn nói là symmetric là mã hóa đồng bộ và asymmetric là mã hóa bất đồng bộ nữa đấy...và còn nhiều chuyện tức cười nữa nếu bác chịu khó đọc hết cái link này

Nếu bác có tâm huyết thì cho bà con vài cái topic đi, chứ đừng có ra vể kể cả ở đây như vậy không hay đâu

Re: RE: hỏi về RSA

Vừa hay cách đây ít phút ở slashdot có bàn về "Free SSL Certificate Project", ở đây ta cũng bàn về certificate :)

VASC-CA có nhiều cái sai lắm, mà cả những nhà cung cấp lớn hơn như verisign đôi khi cũng còn cấp những cái chứng chỉ không hợp lí nữa là (tôi còn giữ bằng chứng), tuy nhiên nhiều trong số đó là bí mật kinh doanh, tôi xin giữ lại để sau này đem ra làm ưu thế kiếm cơm, tuy nhiên nếu có người muốn biết thì tôi cũng k0 nề hà gì mà xì ra thêm 1 điểm, đó là các phân phối CRL qua HTTPS như của VASC-CA là không chấp nhận được. Lí do không chấp nhận được là gì thì coi như là 1 bài tập để các độc giả tự tìm câu trả lời.

Cá nhân tôi là 1 người luôn thúc giục các cơ quan có chức năng phát triển PKI cho Việt Nam, vì giá 1 cái chứng chỉ hoàn toàn phụ thuộc vào chính sách và giá nhân công của lao động có tay nghề. Giá nhân công của Việt Nam rất thấp (tuy lao động có tay nghề trong lĩnh vực này rất hiếm). Nếu ta có một chính sách phù hợp thì Việt Nam có thể khiến cho nhiều CA của các nước có giá nhân công cao đi vào dĩ vãng, tôi rất muốn được chứng kiến điều đó.

Hiện nay thành phố HN đang đầu tư cho ĐHCN (tiền đếm bằng 10^8) chỉ để nghiên cứu thử triển khai PKI cho vài người, để sau đó triển khai thật (tiền đếm bằng 10^10), tức là tốn hơn việc mua sẵn của bọn mẽo như verisign nhiều. Đó là vì vấn đề an ninh của quốc gia, không thể dựa vào nước nào khác được. Giống như Việt Nam xác định là sẽ phải dùng GNU chứ không dùng Windows vậy.

Còn các bác ở đây tự ái dân tộc là điều tôi ủng hộ, nếu không có nó thì Việt Nam đang là 1 tỉnh của bọn Tàu rồi.

Còn về cái ví dụ VPN thì không thể trách họ được, rất ít người có kiến thức về mật mã. Như bác (itmansaigon) là cao rồi, đứng trên nhìn xuống thì ta nên độ lượng hơn.

Tôi vẫn thỉnh thoảng chat chit và gây hấn ở các diễn đàn, nhưng viết bài về chuyên môn thì tôi xin kiếu, vì viết có mấy người đọc đâu, mà đem viết tài liệu khoa học bằng tiếng Việt khó khăn lắm, tại vốn từ khoa học của ta còn thiếu nhiều, mà vay mượn tiếng anh đầy khắp bài viết như bác (itmansaigon) thì tôi không nỡ.

Re: RE: hỏi về RSA

Cái quan trọng trên hết là VASC-CA không bảo đảm được AUTHENTICATION cho khách hàng thì nói làm gì đến chú CRL dùng để kiểm tra tính hiệu lực của certificate, cũng như cái passport chưa được đóng mộc thì gia hạn cho nó để làm gì?

Nhân tiện cũng cám ơn bác metalari cho cái info về Free SSL Certificates project, nó đưa ra cái ý tưởng chủ đạo là nếu càng ngày càng có nhiều người đăng ký dùng Free SSL Certificates thì không lâu sau nó sẽ được các Browser vendor tự động import Root Certificate của nó vào khi xuất xưởng và khi đó Free SSL Certificates project tự đông sẽ trở thành Trusted CA

Tôi cũng mong là ý tưởng đó trở thành hiện thực vì sẽ khỏi phải trả cho chú Verisign mỗi năm $1000

Túm được đuôi itmansaigon không hiểu vấn đề ở điểm nào rồi.

Ngày xửa ngày xưa đã có những thằng như http://www.cacert.org/ làm free cert rồi . Tóm lại là cái ý tưởng free certificate đó là không khả thi đâu, còn nếu itmansaigon vẫn cho nó là khả thi thì đành bó tay!

RE: hỏi về RSA

Tôi nghĩ là bác không hiểu gì về nó hết, muốn cho người khác hiểu mình cũng là một vấn đề đó metalari à, đôi khi đi đường xa mới biết bạn "hiền" tôi đợi xem bác "hiền" đến mức nào khi đi xa, hay là chỉ ngoáy chỗ này một chút, chọc chỗ khác một chút rồi biến nhé