2.1, Hệ thống ở Việt Nam
Theo Nghị định số 26/2007/NĐ-CP, hệ thống các tổ chức cung cấp dịch vụ chứng thực chữ ký số (sau đây viết tắt là CA) của Việt Nam có cấu trúc gồm hai nhánh. Các CA công cộng, có gốc tại Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia (Root CA) do Bộ Thông tin và Truyền thông thiết lập và được vận hành bởi Trung tâm Chứng thực chữ ký số quốc gia, được phép cung cấp dịch vụ chứng thực chữ ký số cho các hoạt động giao dịch điện tử công cộng. Các CA chuyên dùng cung cấp dịch vụ chứng thực chữ ký số cho nội bộ các cơ quan, tổ chức, doanh nghiệp. Trong số này, các CA chuyên dùng cho hệ thống chính trị do Ban Cơ yếu Chính phủ (nay thuộc Bộ Quốc phòng) xây dựng.
Cả hệ thống chính trị và hệ thống công cộng đều sử dụng mô hình phân tầng.
44
Hệ thống CA công cộng ở Việt Nam được xây dựng dựa trên cấu trúc phân tầng. Với:
- MIC-CA: Đừng đầu và được cấp phép là "Bộ thông tin truyền thông" - Họ cấp phép cho các tổ chức chứng thực chữ ký số công cộng. Ở nước ta
hiện nay có 9 tổ chức chứng thực chữ ký số công cộng được cung cấp, có thể kể đến như VNPT-CA, BKAV-CA, VietTel-CA, ...
- Các tổ chức chứng thực chữ ký số công cộng sẽ dựa trên nhu cầu của các các nhân, tổ chức để cấp phép cho người sử dụng cuối cùng.
Hình 35: Cấu trúc hệ thống CA công cộng ở Việt Nam
2.2, Cây chứng thư số
Chúng ta có thể thấy được toàn bộ quá trình từ hệ thống Root tạo chứng thư số cho đến chứng thư người dùng cuối qua cây chứng thư số ở hình 36.
Tại mô hình này quá trình tạo chứng thư số cho người dùng cuối như sau: RootCA tự tạo chứng thư số cho bản thân, RootCA tạo chứng thư số cho SubCA (CA cấp dưới). SubCA sau khi có chứng thư số sẽ tạo chứng thứ số cho người dùng cuối.
Cụ thể hơn: Để tạo chứng thư số cho RootCA, hệ thống RootCA tự sinh ra một cặp khóa bất đối xứng RSA. Đóng gói thông tin của chứng thư và khóa công khai của RootCA thành 1 khối dữ liệu. Dữ liệu thông qua hàm băm cho ra thành một khối Digest. Sử dụng khóa riêng của RootCA để ký lên chính khối Digest đó, cho ra chữ ký. Đóng gói chữ ký, khóa công khai, và thông tin chứng thư thành chứng thư của RootCA
45
Hình 36: Mô tả quá trình tạo chứng thư số
Đối với trường hợp tạo chứng thư số cho SubCA chúng ta sẽ thực hiện như sau. Đơn vị quản lý SubCA sẽ tự sinh ra 1 cặp khóa phi đối xứng RSA. Đóng gói thông tin và khóa công khai của CA cấp dưới thành 1 khối và gửi lên hệ thống RootCA. Dữ liệu thông qua hàm băm cho ra khối Digest. Sử dụng khóa riêng của RootCA để ký lên chính khối Digest đó, cho ra chữ ký. Đóng gói chữ ký, khóa công khai, và thông tin chứng thư thành chứng thư số của SubCA.
Đối với trường hợp tạo chứng thư số cho người dùng cuối. Người dùng cuối sẽ phải thực hiện: Tự sinh ra 1 cặp khóa phi đối xứng RSA, Đóng gói thông tin và khóa công khai của người dùng cuối thành 1 khối. Gửi dữ liệu này lên cho hệ thống SubCA. Dữ liệu thông qua hàm băm cho ra khối Digest, Sử dụng khóa riêng của SubCA để ký lên chính khối Digest đó, cho ra chữ ký. Đóng gói chữ ký, khóa công khai, và thông tin chứng thư thành chứng thư số của người dùng cuối.
2.3, Phân loại
Có nhiều loại chứng thư số, cũng như phần trên đã giới thiệu, tổng kết lại chúng ta có 4 loại chứng thư số:
- Chứng thư số cho doanh nghiệp - Chứng thư số cho cá nhân - Chứng thư số cho SSL - Chứng thư số khác
46
Hình 37: Phân loại chứng thư số ở Việt Nam
Thời gian qua, việc ứng dụng chứng thư số cho doanh nghiệp đang chiếm nhu cầu lớn nhất trong toàn bộ hệ thống. Nhưng với xu hướng thương mại điện tử ngày càng phát triển hiện nay, chứng thư số cho cá nhân đang được cho là xu thế tất yếu của quá trình phát triển ứng dụng cho thương mại điện tử.
Chứng thư số SSL vẫn sẽ là nền tảng chưa thể thay thế cho việc bảo vệ đường truyền trong thời điểm hiện tại cũng như tương lai gần.