Digital Signatures & PKI (Day 88) | FE Master

🎯 Làm sao biết email này là của Sếp thật?

1. Chữ ký số (Digital Signature)

Đảm bảo 2 điều: 1. Đúng người gửi (Authenticity) và 2. Nội dung không bị sửa (Integrity).

Quy trình ngược với mã hóa:

Sếp dùng Private Key của Sếp để "ký" (thực chất là mã hóa cái Hash của văn bản).
Nhân viên dùng Public Key của Sếp để giải mã chữ ký -> Ra được Hash gốc.
So sánh Hash gốc với Hash của file nhận được. Khớp -> Chuẩn hàng.

graph LR S[Sếp] -- Hash + Private Key --> Sig[Chữ ký] Sig -- Gửi qua mạng --> NV[Nhân viên] NV -- Sig + Public Key Sếp --> Hash1 NV -- File gốc --> Hash2 Hash1 -- So sánh --> Hash2 Hash2 -- Khớp? --> OK[Valid]

2. PKI (Public Key Infrastructure) & CA

Ai chứng minh Public Key kia đúng là của Sếp chứ không phải của Hacker giả mạo?

Cần một ông trọng tài uy tín: CA (Certificate Authority).

CA cấp cho Sếp một cái "Chứng minh thư số" (Digital Certificate) chứa Public Key + Chữ ký của CA.
Trình duyệt tin tưởng CA -> Tin tưởng Certificate -> Tin tưởng Web (HTTPS).

3. Cấu trúc Certificate X.509 (Chuẩn quốc tế)

Một chứng chỉ không chỉ có Public Key, nó còn có:

Version: Phiên bản (V3 là phổ biến nhất).
Serial Number: Số định danh duy nhất của CA cấp.
Signature Algorithm: Thuật toán dùng để ký (Vd: sha256RSA).
Issuer: Tên CA cấp (Vd: DigiCert, Let's Encrypt).
Validity: Thời hạn sử dụng (Not Before / Not After).
Subject: Tên chủ sở hữu (Vd: google.com).
Public Key Info: Khóa công khai và thuật toán.

4. Chuỗi tin tưởng (Chain of Trust)

Tại sao trình duyệt tin một CA lạ?

Trình duyệt có sẵn các Root CA cực kỳ uy tín (Microsoft, Apple nạp sẵn).
Root CA ký cho Intermediate CA.
Intermediate CA ký cho Website của bạn.
👉 Nếu check ngược lên thấy Root CA nằm trong danh sách an toàn -> OK.

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Khi sử dụng Digital Signature, người gửi lấy Private Key của mình để mã hoá cái gì?
Đáp án
Message Digest (Mã băm của tin nhắn). Không phải mã hóa toàn bộ tin nhắn.
Câu hỏi: Làm sao để biết một Chứng chỉ số (Certificate) còn hiệu lực hay không theo thời gian thực?
Đáp án
Dùng giao thức OCSP (Online Certificate Status Protocol).

🎯 Làm sao biết email này là của Sếp thật?

1. Chữ ký số (Digital Signature)

Đảm bảo 2 điều: 1. Đúng người gửi (Authenticity) và 2. Nội dung không bị sửa (Integrity).

Quy trình ngược với mã hóa:

Sếp dùng Private Key của Sếp để "ký" (thực chất là mã hóa cái Hash của văn bản).
Nhân viên dùng Public Key của Sếp để giải mã chữ ký -> Ra được Hash gốc.
So sánh Hash gốc với Hash của file nhận được. Khớp -> Chuẩn hàng.

2. PKI (Public Key Infrastructure) & CA

Ai chứng minh Public Key kia đúng là của Sếp chứ không phải của Hacker giả mạo?

Cần một ông trọng tài uy tín: CA (Certificate Authority).

CA cấp cho Sếp một cái "Chứng minh thư số" (Digital Certificate) chứa Public Key + Chữ ký của CA.
Trình duyệt tin tưởng CA -> Tin tưởng Certificate -> Tin tưởng Web (HTTPS).

3. Cấu trúc Certificate X.509 (Chuẩn quốc tế)

Một chứng chỉ không chỉ có Public Key, nó còn có:

Version: Phiên bản (V3 là phổ biến nhất).
Serial Number: Số định danh duy nhất của CA cấp.
Signature Algorithm: Thuật toán dùng để ký (Vd: sha256RSA).
Issuer: Tên CA cấp (Vd: DigiCert, Let's Encrypt).
Validity: Thời hạn sử dụng (Not Before / Not After).
Subject: Tên chủ sở hữu (Vd: google.com).
Public Key Info: Khóa công khai và thuật toán.

4. Chuỗi tin tưởng (Chain of Trust)

Tại sao trình duyệt tin một CA lạ?

Trình duyệt có sẵn các Root CA cực kỳ uy tín (Microsoft, Apple nạp sẵn).
Root CA ký cho Intermediate CA.
Intermediate CA ký cho Website của bạn.
👉 Nếu check ngược lên thấy Root CA nằm trong danh sách an toàn -> OK.

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Khi sử dụng Digital Signature, người gửi lấy Private Key của mình để mã hoá cái gì?
Đáp án
Message Digest (Mã băm của tin nhắn). Không phải mã hóa toàn bộ tin nhắn.
Câu hỏi: Làm sao để biết một Chứng chỉ số (Certificate) còn hiệu lực hay không theo thời gian thực?
Đáp án
Dùng giao thức OCSP (Online Certificate Status Protocol).

Chữ ký số & PKI

lesson.content.title

🎯 Làm sao biết email này là của Sếp thật?

1. Chữ ký số (Digital Signature)

2. PKI (Public Key Infrastructure) & CA

3. Cấu trúc Certificate X.509 (Chuẩn quốc tế)

4. Chuỗi tin tưởng (Chain of Trust)

📝 Luyện tập Part B (Exam Drills):

Chữ ký số & PKI

lesson.content.title

🎯 Làm sao biết email này là của Sếp thật?

1. Chữ ký số (Digital Signature)

2. PKI (Public Key Infrastructure) & CA

3. Cấu trúc Certificate X.509 (Chuẩn quốc tế)

4. Chuỗi tin tưởng (Chain of Trust)

📝 Luyện tập Part B (Exam Drills):