Chương 10 10.2 Các loại giấy chứng nhận khóa công cộng Để khóa công cộng của mình được chứng nhận, bên đối tác phải tạo ra một cặp khóa bất đối xứng và gửi cặp khóa này cho tổ chức CA. Bên đối tác phải gửi kèm các thông tin về bản thân như tên hoặc địa
Chương 10 10.2 Các loại giấy chứng nhận khóa cơng cộng Để khóa cơng cộng chứng nhận, bên đối tác phải tạo cặp khóa bất đối xứng gửi cặp khóa cho tổ chức CA Bên đối tác phải gửi kèm thông tin thân tên địa Khi tổ chức CA kiểm tra tính xác thực thơng tin bên đối tác, phát hành giấy chứng nhận khóa cơng cộng cho bên đối tác Giấy chứng nhận tập tin nhị phân dễ dàng chuyển đổi qua mạng máy tính Tổ chức CA áp dụng chữ ký điện tử cho giấy chứng nhận khóa cơng cộng mà phát hành Một tổ chức CA chứng nhận khóa cơng cộng cách ký nhận Nếu phía đối tác bên tin tưởng vào tổ chức CA họ tin vào chữ ký Sau số loại giấy chứng nhận khóa cơng cộng 10.2.1 Chứng nhận X.509 Chứng nhận X.509 chứng nhận khóa công cộng phổ biến Hiệp hội viễn thông quốc tê (International Telecommunications Union – ITU) định chuẩn X.509 vào năm 1988 [2] Đây định dạng phiên chuẩn X.509 Vào năm 1993, phiên chuẩn X.509 phát hành với trường tên nhận dạng bổ sung Phiên chuẩn X.509 bổ sung thêm trường mở rộng phát hành vào năm 1997 Một chứng nhận khóa cơng cộng kết buộc khóa cơng cộng với nhận diện người (hoặc thiết bị) Khóa cơng cộng tên thực thể sở hữu khóa hai mục quan trọng chứng nhận Hầu hết trường khác chứng 250 Chứng nhận khóa cơng cộng nhận X.509 phiên chứng tỏ có ích Sau thơng tin trường chứng nhận X.509 phiên [2]: o Version: Chỉ định phiên chứng nhận X.509 o Serial Number: Số loạt phát hành gán CA Mỗi CA nên gán mã số loạt cho giấy chứng nhận mà phát hành o Signature Algorithm: Thuật toán chữ ký rõ thuật tốn mã hóa CA sử dụng để ký giấy chứng nhận Trong chứng nhận X.509 thường kết hợp thuật toán băm (chẳng hạn MD5) thuật tốn khóa cơng cộng (chẳng hạn RSA) o Issuer Name: Tên tổ chức CA phát hành giấy Hình 10.4 Phiên chứng nhận, tên phân biệt theo chuẩn X.500 (X.500 Distinguised Name – X.500 DN) chuẩn chứng nhận X.509 Hai CA không sử dụng tên phát hành o Validity Period: Trường bao gồm hai giá trị định khoảng thời gian mà giấy chứng nhận có hiệu lực Hai phần trường not-before not-after Not-before định thời gian mà chứng nhận bắt đầu có hiệu lực, Not-after định thời gian mà chứng nhận hết hiệu lực Các giá trị thời gian đo theo chuẩn thời gian Quốc tế, xác đến giây 251 Chương 10 o Subject Name: X.500 DN, xác định đối tượng sở hữu giấy chứng nhận mà sở hữu khóa công cộng Một CA phát hành giấy chứng nhận có Subject Name o Public key: Xác định thuật tốn khóa cơng cộng (như RSA) chứa khóa cơng cộng định dạng tuỳ vào kiểu o Issuer Unique ID Subject Unique ID: Hai trường giới thiệu X.509 phiên 2, dùng để xác định hai tổ chức CA hai chủ thể chúng có DN RFC 2459 đề nghị không nên sử dụng hai trường o Extensions: Chứa thông tin bổ sung cần thiết mà người thao tác CA muốn đặt vào chứng nhận Trường giới thiệu X.509 phiên o Signature: Đây chữ ký điện tử tổ chức CA áp dụng Tổ chức CA sử dụng khóa bí mật có kiểu quy định trường thuật toán chữ ký Chữ ký bao gồm tất phần khác giấy chứng nhận Do đó, tổ chức CA chứng nhận cho tất thông tin khác giấy chứng nhận không cho tên chủ thể khóa cơng cộng 10.2.2 Chứng nhận chất lượng Đặc điểm giấy chứng nhận chất lượng chúng quan tâm quan tới đối tượng mà chúng phát hành đến Thực thể cuối sở hữu giấy chứng nhận X.509 RFC 2459 người máy Tuy nhiên, giấy chứng nhận chất lượng phát hành cho người Giấy chứng nhận chất lượng RFC 3039 cung cấp yêu cầu chi tiết dựa nội dung nhiều trường chứng nhận X.509 Các trường tên nhà xuất bản, tên 252 Chứng nhận khóa cơng cộng chủ thể, phần mở rộng cung cấp yêu cầu nội dung cụ thể Tên nhà xuất giấy chứng nhận chất lượng phải xác định tổ chức chịu trách nhiệm phát hành giấy chứng nhận Tên chủ thể giấy chứng nhận chất lượng phải xác định người thật 10.2.3 Chứng nhận PGP Đơn giản chứng nhận X.509, giấy chứng nhận PGP không hỗ trợ phần mở rộng Giấy chứng nhận X.509 ký tổ chức CA Trong đó, giấy chứng nhận PGP ký nhiều cá nhân Do mơ hình tin cậy giấy chứng nhận PGP đòi hỏi bạn phải tin tưởng vào người ký giấy chứng nhận PGP mà bạn muốn dùng không tin tưởng vào tổ chức CA phát hành chứng nhận X.509 10.2.4 Chứng nhận thuộc tính Các giấy chứng nhận thuộc tính (Attribute Certificates – AC [2]) giấy chứng nhận điện tử khơng chứa khóa cơng cộng Thay thao tác chứng nhận khóa cơng cộng, ACs thao tác chứng nhận tập hợp thuộc tính Các thuộc tính AC dùng để chuyển thông tin giấy phép liên quan đến người giữ giấy chứng nhận Các chứng nhận thuộc tính phân quyền cho người giữ chúng 253 Chương 10 Hệ thống phát hành, sử dụng hủy ACs Privilege Management Infrastructure (PMI) Trong PMI, tổ chức chứng nhận thuộc tính Attribute Authority (AA) phát hành ACs Một AA khơng giống CA Động cho việc sử dụng ACs để cấp phép Vì người dùng giữ vai trị tổ chức thời gian ngắn, nên khác với giấy chứng nhận khóa cơng cộng, AC có giá trị vài ngày ngắn Hình 10.5 Phiên cấu trúc chứng nhận thuộc tính 10.3 Sự chứng nhận kiểm tra chữ ký Quá trình chứng nhận chữ ký diễn theo hai bước Đầu tiên, trường chứng nhận ký nén thuật toán trộn cho trước Sau đó, kết xuất hàm trộn, gọi hash digest, mã hóa với khóa bí mật tổ chức CA phát hành chứng nhận 254 Chứng nhận khóa cơng cộng Subject Name Public Key (other fields) Hash Algorithm Fran's X.509 Certificate Hash Digest Encryption Subject Name Public Key CA's private key (other fields) Signature Signature Hình 10.6 Quá trình ký chứng nhận Chứng nhận CA phải ký khóa bí mật Khóa bí mật phải thuộc quyền sở hữu CA, thông qua việc ký chứng nhận đối tác A, tổ chức CA chứng nhận hữu đối tác A Để có chứng nhận, tổ chức CA cần tạo ký giấy chứng nhận cho nó, khơng cần áp dụng cho CA khác để chứng nhận Điều hiểu tự chứng nhận (self-certification), giấy chứng gọi giấy chứng nhận tự ký (self-signed certificate) 255 Chương 10 Hình 10.7 Quá trình kiểm tra chứng nhận Tổ chức CA sử dụng khóa bí mật để ký giấy chứng nhận đối tác A dùng khóa bí mật để ký giấy chứng nhận cho Một đối tác B kiểm tra chữ ký giấy chứng nhận đối tác A chữ ký giấy chứng nhận tổ chức CA thông qua việc dùng khóa cơng cộng giấy chứng nhận CA Cả hai giấy chứng nhận đối tác A tổ chức CA tạo nên chuỗi chứng nhận Quá trình kiểm tra chứng nhận thường yêu cầu kiểm tra chuỗi chứng nhận Sự kiểm tra kết thúc giấy chứng nhận tự ký kiểm tra cuối chuỗi [2] 256 Chứng nhận khóa cơng cộng 10.4 Các thành phần cở sở hạ tầng khóa cơng cộng Hình 10.8 Mơ hình PKI 10.4.1 Tổ chức chứng nhận – Certificate Authority (CA) Tổ chức CA thực thể quan trọng X.509 PKI (Public key Infrastructure) Tổ chức CA có nhiệm vụ phát hành, quản lý hủy bỏ giấy chứng nhận Để thực nhiệm vụ phát hành giấy chứng nhận mình, CA nhận yêu cầu chứng nhận từ khách hàng Nó chứng nhận tồn khách hàng kiểm tra nội dung yêu cầu chứng nhận khách hàng Sau đó, tổ chức CA tạo nội dung chứng nhận cho khách hàng ký nhận cho chứng nhận Nếu CA có sử dụng nơi lưu trữ chứng nhận lưu giấy chứng nhận tạo Tổ chức CA phân phối chứng nhận tới khách hàng thông qua email địa URL, nơi mà khách hàng lấy chứng nhận 257 Chương 10 Khi giấy chứng nhận cần bị hủy bỏ, tổ chức CA tạo quản lý thông tin hủy bỏ cho chứng nhận Khi hủy bỏ giấy chứng nhận, CA xóa chứng nhận khỏi nơi lưu trữ đánh dấu xóa Tổ chức CA thông báo cho khách hàng chứng nhận họ bị hủy, đồng thời thêm số loạt chứng nhận bị hủy vào danh sách chứng nhận bị hủy – Certificate Revocation List (CRL) [2] 10.4.2 Tổ chức đăng ký chứng nhận – Registration Authority (RA) Một RA thực thể tùy chọn thiết kế để chia sẻ bớt công việc CA Một RA thực dịch vụ mà tổ chức CA khơng thực [2] Các nhiệm vụ RA chia thành loại: dịch vụ chứng nhận dịch vụ kiểm tra Một RA chứng nhận yêu cầu khác dịch vụ trực tiếp gửi đến tổ chức CA Một RA xác lập để xử lý yêu cầu chứng nhận, yêu cầu hủy bỏ chứng nhận thay cho CA Sau xác minh yêu cầu, tức xác định yêu cầu đến từ thực thể thích hợp, RA kiểm tra tính hợp lệ nội dung yêu cầu Một RA hoạt động xử lý ngoại vi CA Một RA nên phục vụ cho CA Trong đó, CA hỗ trợ nhiều RA Một CA chịu trách nhiệm tương tác với nơi lưu trữ chứng nhận ký CLRs ký giấy chứng nhận Thông qua việc chia sẻ bớt nhiều nhiệm vụ cho RA, thực chất CA làm tăng thời gian trả lời cho yêu cầu thực thể cuối 258 Chứng nhận khóa cơng cộng 10.4.3 Kho lưu trữ chứng nhận – Certificate Repository (CR) Một kho chứng nhận sở liệu chứa chứng nhận phát hành CA Kho tất người dùng PKI dùng nguồn trung tâm chứng nhận, nguồn khóa cơng cộng Một kho dùng vị trí trung tâm danh sách CRL [2] 10.5 Chu trình quản lý giấy chứng nhận 10.5.1 Khởi tạo Trước yêu cầu chứng nhận, đối tác phải tìm hiểu PKI mà muốn tham gia Đối tác phải có địa tổ chức CA, RA kho lưu trữ chúng tồn Đối tác cần phải có giấy chứng nhận tổ chức CA, chứng nhận RA Cuối cùng, đối tác cần phải có cách tạo cặp khóa bất đối xứng lựa chọn thuộc tính cho tên phân biệt (Distinguised name- DN [2]) 10.5.2 Yêu cầu giấy chứng nhận Đối tác yêu cầu chứng nhận từ CA thông qua nhiều kĩ thuật Trong trường hợp phát sinh lại, đối tác không cần yêu cầu, tổ chức CA tạo giấy chứng nhận thay cho đối tác Kĩ thuật yêu cầu tổ chức CA phải phát sinh cặp khóa bất đối xứng để có khóa cơng cộng kèm theo chứng nhận Hầu hết CA sử dụng hai phương thức tiêu chuẩn yêu cầu chứng nhận : PKCS #10 CRMF 259 Chương 10 Yêu cầu chứng nhận theo chuẩn PKCS #10 [2]: o Version: phiên định dạng yêu cầu chứng nhận o Subject Name: X.500 DN, xác định thực thể cuối yêu cầu giấy chứng nhận, người sở hữu khóa cơng cộng o Public Key: thuật tốn khóa cơng cộng, chứa khóa cơng Hình 10.9 Mẫu yêu cầu chứng nhận cộng có định dạng tùy thuộc vào theo chuẩn PKCS#10 loại o Attributes: bao gồm thông tin bổ sung dùng để xác định thực thể cuối o Signature Algorithm: thuật toán mã hóa dùng thực thể cuối để ký yêu cầu chứng nhận o 260 Signature: chữ ký điện tử áp dụng thực thể cuối yêu cầu chứng nhận Chứng nhận khóa cơng cộng u cầu chứng nhận theo chuẩn CRMF [2]: o Request ID: số sử dụng đối tác tổ chức CA để liên kết yêu cầu với trả lời chứa chứng nhận yêu cầu o Certificate Template : yêu cầu PKCS #10, đối tác định tên thơng tin khóa cơng cộng bao gồm giấy chứng nhận Trong CRMF, đối tác bao gồm trường chứng nhận X.509 mẫu chứng nhận yêu cầu họ o Controls : cung cấp cách thức mà đối tác gửi chi tiết giám sát liên quan tới yêu cầu họ tới tổ chức CA Trường dùng tương tự trường thuộc tính PKCS #10 o Hình 10.10 Định dạng thơng điệp u cầu chứng nhận theo RFC 2511 Proof of Possesion : CRMF hỗ trợ bốn phương thức để đối tác chứng minh họ sở hữu khóa bí mật tương ứng với khóa cơng cộng u cầu Mỗi phương thức sử dụng tùy thuộc vào mục đích sử dụng khóa o Registration Information : trường tùy chọn chứa liệu liên quan đến yêu cầu chứng nhận định dạng trước thay 261 Chương 10 10.5.3 Tạo lại chứng nhận Đối tác muốn tạo lại chứng nhận nhiều lý do: giấy chứng nhận hết hạn, thêm thông tin vào chứng nhận, xác nhận lại khóa cơng cộng có, xác nhận khóa Khi tổ chức CA đáp ứng yêu cầu tạo lại này, phát hành cho đối tác giấy chứng nhận xuất giấy chứng nhận vào kho lưu trữ Yêu cầu tạo lại đơn giản nhiều so với yêu cầu chứng nhận nguyên thủy Khi CA nhận yêu cầu chứng nhận, phải xác minh tồn đối tác Nhưng đối tác gửi yêu cầu tạo lại, họ bao gồm giấy chứng nhận có chữ ký sử dụng khóa bí mật tương ứng với chứng nhận Điều xem chứng nhận tồn đối tác Do đó, việc tạo lại chứng nhận dễ cho CA đáp ứng 10.5.4 Hủy bỏ chứng nhận Tất chứng nhận có thời hạn sử dụng chúng cuối bị hết hạn Tuy nhiên, cần phải hủy bỏ chứng nhận trước bị hết hạn Lý chung để hủy chứng nhận nhận diện xác nhận CA thay đổi Certificate Revocation List (CRL) cách thông dụng để phổ biến thông tin hủy bỏ CRL chứa thông tin thời gian nhằm xác định thời điểm tổ chức CA phát hành CA ký CRL với khóa bí mật dùng để ký chứng nhận Các CRL thường chứa kho với chứng nhận nhằm dễ dàng cho việc rút trích 262 Chứng nhận khóa cơng cộng Các CA phát hành CRL theo định kì, thường hàng hàng ngày o Version : phiên định dạng CRL o Signature Algorithm : xác định thuật tốn mã hóa dùng để ký CRL o Issuer Name : X.500 DN, xác định tên tổ chức ký CRL o This-Update : thời điểm CRL tạo o Next-Update : thời điểm CA tạo CRL o Revoked Certificates : danh sách chứng Hình 10.11 Phiên nhận bị hủy bỏ Mỗi chứng nhận bị hủy có mục CRL, chứa thông tin sau: o định dạng danh sách chứng nhận bị hủy • Serial Number : mã số chứng nhận • Revocation Date : ngày hủy bỏ • CRL Entry Extension : thông tin bổ sung CRL Extensions : thông tin bổ sung hỗ trợ cho việc dùng quản lý CRL o Signature : chữ ký tổ chức phát hành CRL 263 Chương 10 10.5.5 Lưu trữ khơi phục khóa Lưu trữ khóa dịch vụ cung cấp nhiều tổ chức CA Thơng qua việc lưu trữ khóa mã hóa bí mật, khách hàng tránh trường hợp không giải mã liệu bị khóa Để lưu trữ khóa, khách hàng phải gửi khóa bí mật tới nơi lưu trữ Bởi u cầu lưu trữ hay khơi phục khóa phải xác minh nên người dùng thao tác trực tiếp đến nơi lưu trữ mà phải thông qua RA CA 10.6 Các mơ hình CA 10.6.1 Mơ hình tập trung Hình 10.12 Mơ hình CA tập trung 264 Chứng nhận khóa cơng cộng Tất chứng nhận khóa cơng cộng ký tập trung tổ chức CA xác nhận khóa cơng cộng CA Khóa cơng cộng phân phối trực tiếp đến người sử dụng dạng đính kèm chương trình kiểm tra chứng nhận khóa cơng cộng tổ chức cung cấp Đây hướng tiếp cận truyền thống, sử dụng phiên đầu Netscape Navigator Khuyết điểm mơ hình tượng “nút cổ chai” trung tâm [2] 10.6.2 Mơ hình phân cấp Tổ chức CA phân thành nhiều cấp, tổ chức CA cấp cao ký vào chứng nhận khóa cơng cộng tổ chức CA trực tiếp Một chứng nhận khóa cơng cộng người sử dụng ký tổ chức CA cục Khi người sử dụng muốn kiểm tra chứng nhận khóa cơng cộng, họ cần kiểm tra chứng nhận khóa cơng cộng tổ chức CA cục ký chứng nhận Để làm điều này, cần phải kiểm tra chứng nhận khóa công cộng tổ chức CA cấp cao ký chứng nhận khóa cơng cộng tổ chức CA cục bộ, … Việc kiểm tra lan truyền lên cấp cao tổ chức CA kiểm tra chứng nhận khóa cơng cộng tổ chức CA khóa cơng cộng cung cấp trực tiếp cho người sử dụng Hệ thống PEM (Privacy Enhanced Mail) hệ thống DMS (Defense Message System) Bộ Quốc phòng Hoa Kỳ sử dụng mơ hình 265 Chương 10 CA trung ương CA chi nhaùnh CA CA chi nhaùnh CA CA CA Người sử dụng Hình 10.13 Mơ hình CA phân cấp 10.6.3 Mơ hình “Web of Trust” Bất có chứng nhận khóa cơng cộng ký vào chứng nhận khóa cơng cộng người khác Đây hướng tiếp cận hệ thống Pertty Good Privacy (PGP) CA Mỗi thành viên tham gia vào hệ thống đóng vai trị CA để ký vào chứng nhận khóa cơng cộng thành viên khác Để tin chứng nhận khóa cơng cộng hợp lệ, ta cần phải có khóa công cộng người ký 266 Chứng nhận khóa cơng cộng chứng nhận cần phải đảm bảo người ký chứng nhận hợp lệ Hình 10.14 Mơ hình “Web of trust” Ví dụ: Trong hình sau, A ký vào chứng nhận khóa cơng cộng B, D, F; D ký vào chứng nhận khóa cơng cộng A, C, E; B C ký vào chứng nhận khóa cơng cộng Để đảm bảo an toàn cho hệ thống, thành viên tham gia vào mơ hình có trách nhiệm chữ ký chứng nhận khóa cơng cộng thành viên khác Để thực điều này, thông thường: o Tiếp xúc trực tiếp: Các thành viên gặp trực tiếp để trao đổi khóa cơng cộng họ ký vào chứng nhận khóa cơng cộng 267 Chương 10 o Kỹ thuật “Dấu vân tay” (Fingerprinting): “Dấu vân tay” chuỗi gồm 128-bits kết sử dụng hàm băm MD5 mã khóa cơng cộng • “Dấu vân tay” người A công bố rộng rãi theo nhiều cách khác nhau, chẳng hạn card visit hay trang web A… • Nếu người B chưa tin vào chữ ký chứng nhận khóa cơng cộng A B co thể sử dụng hàm băm MD5 để kiểm tra lại mã khóa có phù hợp với “dấu vân tay” A công bố hay khơng • Nhờ vào mức độ an tồn phương pháp MD5, nên việc tìm mã khóa cơng cộng khác có giá trị dấu vân tay với mã khóa cho trước khơng khả thi 10.7 Ứng dụng “Hệ thống bảo vệ thư điện tử” 10.7.1 Đặt vấn đề Thư tín điện tử ngày sử dụng rộng rãi lĩnh vực đời sống xã hội Hệ thống thư điện tử cho phép thực giao dịch thương mại cách nhanh chóng, hiệu quả, giúp quan, đơn vị liên lạc dễ dàng với nhau, hỗ trợ việc triển khai đề án đồng thời nhiều địa điểm Do tầm quan trọng chiến lược nội dung chứa đựng bên thư điện tử nên yêu cầu đặt phải bảo vệ tính bí mật an tồn thơng điệp điện tử Quy trình mã hóa giải mã thư điện tử giải pháp khả thi nhằm giải toán bảo vệ thư tín điện tử ([20], [15]) 268 Chứng nhận khóa cơng cộng 10.7.2 Quy trình mã hóa thư điện tử Khóa công cộng B Mã khóa Máy tính A Mã hóa bất đối xứng Phát sinh ngẫu nhiên Dữ liệu cần mã hóa Khóa bí mật Mã khóa Mã hóa đối xứng Dữ liệu cần mã hóa ± Chứng nhận khóa công cộng B Khóa bí mật mã hóa Thông điệp mã hóa gửi đến B { ± Nội dung thông điệp mã hóa Hình 10.15 Quy trình mã hóa thư điện tử Hình 10.15 thể quy trình mã hóa thư điện tử Giả sử A muốn gửi thông điệp điện tử bí mật cho B giả sử A có khóa cơng cộng B (có thể B trao đổi trực tiếp cho A hay thơng qua chứng nhận khóa cơng cộng B) o Giai đoạn – Mã hóa thơng điệp phương pháp mã hóa đối xứng an tồn: Máy tính A phát sinh ngẫu nhiên khóa bí mật K sử dụng để mã hóa tồn thơng điệp cần gửi đến cho B phương pháp mã hóa đối xứng an tồn chọn 269 Chương 10 o Giai đoạn – Mã hóa khóa bí mật K phương pháp mã hóa bất đối xứng sử dụng khóa cơng cộng B o Nội dung thơng điệp sau mã hóa giai đoạn với khóa bí mật K mã hóa giai đoạn gửi cho B dạng thư điện tử 10.7.3 Quy trình giải mã thư điện tử Khóa bí mật mã hóa ± { Mã khóa Giải mã bấ t đối xứng Dữ liệu Thông điệp mã hóa gửi đến B ± Khóa riêng B Mã khóa Dữ liệu Giải mã đối xứng Nội dung thông điệp mã hóa Khóa bí mật Hình 10.16 Quy trình giải mã thư điện tử Hình 10.16 thể quy trình giải mã thư điện tử o Giai đoạn – Giải mã khóa bí mật K: B sử dụng khóa riêng để giải mã khóa bí mật K phương pháp mã hóa bất đối xứng mà A dùng để mã hóa khóa K 270 Chứng nhận khóa cơng cộng o Giai đoạn – Giải mã thơng điệp A: B sử dụng khóa bí mật K để giải mã tồn thơng điệp A phương pháp mã hóa đối xứng mà A dùng 10.7.4 Nhận xét – Đánh giá Sử dụng kỹ thuật đây, người gửi thư yên tâm thư giải mã người nhận hợp lệ, có người có mã khóa riêng để giải mã khóa bí mật K từ giải mã nội dung thông điệp 271 ... tính A Mã hóa bất đối xứng Phát sinh ngẫu nhiên Dữ liệu cần mã hóa Khóa bí mật Mã khóa Mã hóa đối xứng Dữ liệu cần mã hóa ± Chứng nhận khóa công cộng B Khóa bí mật mã hóa Thông điệp mã hóa gửi... pháp mã hóa đối xứng an tồn chọn 269 Chương 10 o Giai đoạn – Mã hóa khóa bí mật K phương pháp mã hóa bất đối xứng sử dụng khóa cơng cộng B o Nội dung thơng điệp sau mã hóa giai đoạn với khóa bí... K mã hóa giai đoạn gửi cho B dạng thư điện tử 10. 7.3 Quy trình giải mã thư điện tử Khóa bí mật mã hóa ± { Mã khóa Giải mã bấ t đối xứng Dữ liệu Thông điệp mã hóa gửi đến B ± Khóa riêng B Mã