2.1.3 Thu hồi chứng thư số
Trong một số trường hợp như khoá bị xâm hại, hoặc người sở hữu chứng thư số thay đổi vị trí, cơ quan…thì chứng thư số đã được cấp không có hiệu lực. Do đó, cần phải có một cơ chế cho phép người sử dụng chứng thư số kiểm tra được trạng thái thu hồi chứng thư số. X.509 cho phép kiểm tra chứng thư số trong các trường hợp sau:
- Chứng thư số không bị thu hồi - Chứng thư số đã bị CA cấp thu hồi
- Chứng thư số do một tổ chức có thẩm quyền mà CA uỷ thác có trách nhiệm thu hồi chứng thư số thu hồi
Cơ chế thu hồi X.509 xác định là sử dụng danh sách thu hồi chứng thư số (CRLs). X.509 đưa ra sự phân biệt giữa ngày, thời gian chứng thư số bị CA thu hồi và ngày, thời gian trạng thái thu hồi được công bố đầu tiên. Ngày thu hồi thực sự được ghi cùng với đầu vào chứng thư số trong CRL. Ngày thông báo thu hồi được xác định trong header của CRL khi nó được công bố. Vị trí của thông tin thu hồi có thể khác nhau tuỳ theo CA khác nhau. Bản thân chứng thư số có thể chứa con trỏ đến nơi thông tin thu hồi được xác định vị trí. Người sử dụng chứng thư số có thể biết thư mục, kho lưu trữ hay cơ chế để lấy được thông tin thu hồi dựa trên những thông tin cấu hình được thiết lập trong quá trình khởi sinh.
Để duy trì tính nhất quán và khả năng kiểm tra, CA yêu cầu: - Duy trì bản ghi kiểm tra chứng thư số thu hồi
- Cung cấp thông tin trạng thái thu hồi - Công bố CRLs khi CRL là danh sách trống
2.1.4 Chính sách của chứng thư số
Như được giới thiệu trong phần trên, một số mở rộng liên quan đến chính sách có trong chứng thư số. Những mở rộng liên quan đến chính sách này được sử dụng trong khi thiết lập xác thực chéo giữa các miền PKI. Một chính sách chứng thư số trong X.509 được định nghĩa là “tên của tập các qui tắc chỉ ra khả năng có thể sử dụng của chứng thư số cho một tập thể đặc thù và một lớp ứng dụng với những yêu cầu bảo mật chung” [10].
Chính sách có định danh duy nhất (được biết đến như định danh đối tượng hay OID) và định danh này được đăng ký để người cấp và người sử dụng chứng thư số có thể nhận ra và tham chiếu đến. Một chứng thư số có thể được cấp theo nhiều chính sách. Một số có thể là thủ tục và mô tả mức đảm bảo gắn với việc tạo và quản lý chứng thư số. Những chính sách khác có thể là kỹ thuật và mô tả mức đảm bảo gắn với an toàn của hệ thống được sử dụng để tạo chứng thư số hay nơi lưu trữ khoá [7]. Một chính sách chứng thư số cũng có thể được hiểu là việc giải thích những yêu cầu và giới hạn liên quan đến việc sử dụng chứng thư số được công bố theo những chính sách này. Chính sách chứng thư số - Certificate Policies (CP) được chứa trong trường mở rộng chuẩn của chứng thư số X.509. Bằng việc kiểm tra trường này trong chứng thư số, hệ thống sử dụng chứng thư số có thể xác định được một chứng thư số cụ thể có thích hợp cho mục đích sử dụng hay không.
Một thuật ngữ chuyên môn khác “Certificate Practice Statement (CPS)” được sử dụng để mô tả chi tiết những thủ tục hoạt động bên trong của CA và PKI cấp chứng thư số với chính sách chứng thư số đã qui định.
Chính sách chứng thư số đặc biệt quan trọng khi đưa ra quyết định để xác nhận chéo hai PKI khác nhau.
2.1.5 Công bố và gửi thông báo thu hồi chứng thư số
Thông thường chứng thư số sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhưng trong một số trường hợp chứng thư số lại không hợp lệ trước thời gian hết hạn, ví dụ như:
- Khoá bí mật của chủ thể bị xâm phạm.
- Thông tin chứa trong chứng thư số bị thay đổi - Khoá bí mật của CA cấp chứng thư số bị xâm phạm
Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng thư số là công bố CRLs định kỳ hoặc khi cần thiết. Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng như dùng phương pháp trực tuyến Online Certificate Status Protocol [13].
2.1.5.1 Certificate Revocation Lists (CRLs)
CRLs là cấu trúc dữ liệu được ký như chứng thư số người sử dụng. CRLs chứa danh sách các chứng thư số đã bị thu hồi và những thông tin cần thiết khác của người sử dụng. CRL thường do một CA cấp. Tuy nhiên CRL cũng có thể được sử dụng để cung cấp thông tin cho nhiều CA nếu nó được định nghĩa như một CRL gián tiếp. Những thông tin này được chứa trong trường mở rộng CRL Scope.
Hình 2.4 là khuôn dạng danh sách chứng thư số bị thu hồi.