Trên thế giới, người ta đã đề ra và thực hiện một vài chuẩn để áp dụng cho việc tổ chức PKI. Trong đó, tiêu biểu và phổ biến nhất là hai chuẩn X.509 và OpenPGP.
2.4.4.1 OpenPGP
Khái niệm đầu tiên mà ta phải nhắc tới ở đây là PGP. PGP là từ viết tắt của Pretty Good Privacy. Nó được dùng để chỉ một vài họ các hệ thống phần mềm được phát triển bởi Philip R.Zimmerman vào năm 1991. PGP thường được dùng để ký, mã hóa và giải mã email nhằm tăng tính an ninh cho việc dùng email để liên lạc.
OpenPGP là một giao thức không có chủ sở hữu, dành cho việc mã hóa email sử dụng các phương pháp mã hóa phi đối xứng. Giao thức này dựa trên bản PGP gốc. Giao thức này định nghĩa các format chuẩn cho các thông điệp được mã hóa, chữ ký và những chứng thư được dùng để trao đổi khóa công khai.
- 36 -
Từ năm 1997, một nhóm nghiên cứu OpenPGP được thành lập tại Internet Engineering Task Force (IETF) để định nghĩa ra chuẩn mà trước đó đã bắt đầu được dùng thông qua PGP. Trải qua hơn mười năm, PGP và sau đó là OpenPGP đã trở thành một chuẩn được ứng dụng rộng rãi trên thế giới để mã hóa email.
IETF đã tổng hợp các khái niệm liên quan tới OpenPGP thành một chuẩn và công bố thông qua RFC 4880 “OpenPGP Message Format”. Chuẩn này có thể được dùng bởi bất kỳ công ty, tổ chức, các nhân nào mà không phải trả bất kỳ một đồng phí bản quyền nào.
Khối liên minh OpenPGP kéo các công ty lại gần nhau để cùng theo đuổi một mục tiêu chung là khuyến khích một chuẩn chung cho việc mã hóa email và để ứng dụng PKI mà bắt đầu được biết tới thông qua cộng đồng OpenPGP cho các ứng dụng khác ngoài email. Cộng đồng này đang ngày càng tăng về số lượng của những người tham gia và trở lên lớn mạnh hơn từng ngày.
2.4.4.2 X.509
X.509 là một chuẩn được ban hành bởi ITU-T (Telecommunication Standardization Union Sector) cho PKI, xác thực một lần (single sign-on) và cơ sở hạ tầng quản lý đặc quyền (Privilege Management Infrastructure). Về PKI, X.509 chỉ rõ các chuẩn về cấu trúc chứng thư dùng khóa công khai, CRL, và thuật toán xác minh dãy chứng thư.
ITU-T là một bộ phận của Telecomunication Standardization Union, một tổ chức lâu đời chuyên đưa ra và hệ thống các chuẩn về thông tin liên lạc điện tử. X.509 là một sản phẩm của tổ chức này, nằm trong loạt chuẩn X về dữ liệu mạng, các hệ thống thông tin liên lạc mở và an ninh. Đây là một chuẩn miễn phí nên người sử dụng không bị thu phí khi sử dụng.
X.509 bắt đầu được ban hành vào 3/7/1988 và gắn kết chặt chẽ với chuẩn X.500. Nó đề ra một hệ thống phân tầng các CA cho việc ban hành chứng thư. Việc này là hoàn toàn trái ngược với PGP. Khi phiên bản 3 của X.509 có thêm các đặc điểm mềm dẻo hơn để hỗ trợ các mô hình như Mesh hay Bridge, nó có thể sử dụng trong các mô hình OpenPGP Web of Trust. Tuy vậy, cũng không mấy khi nó được sử dụng như vậy.
Hệ thống X.500 là chưa được hoàn thiện hoàn toàn. Do thế, một nhóm là PKIX đã sử dụng chuẩn này để phát triển tiếp sao cho phù hợp với các mô hình tổ chức mềm dẻo hơn. PKIX được thành lập vào năm 1995, là một nhóm làm việc thuộc IETF (một tổ chức đầy uy tín, là tác giả của nhiều chuẩn cho Internet nổi tiếng) với mục đích là hoàn thiện
- 37 -
chuẩn X.509 của ITU-T. Tuy thế, về sau, các chuẩn do PKIX công bố ngày càng độc lập so với X.509 ban đầu. Thực tế, ngày nay, khi nhắc tới X.509 PKI, người ta sẽ nghĩ ngay tới các công trình nghiên cứu của PKIX được công bố qua các RFC của họ. PKIX vẫn không ngừng tiếp tục công việc của họ cho tới tận ngày nay đề dần hoàn thiện các khía cạnh của một hệ thống PKI dựa trên chuẩn X.509 mềm dẻo và hiệu quả.
- 38 -
CHƯƠNG 3 – XÂY DỰNG GIẢI PHÁP PKI TRÊN SIM