Phát hành chứng chỉ

Một phần của tài liệu PKI và kỹ thuật đảm bảo an toàn dữ liệu (Trang 58 - 62)

Xin cấp một chứng chỉ

Trƣớc khi CA có thể phát hành một chứng chỉ cho một thuê bao, thuê bao cần đăng ký với CA. Việc đăng ký trƣớc hết thiết lập một mối quan hệ giữa thuê bao và CA, sau đó chuyển thông tin xác định của thuê bao cho CA.

Tuỳ vào từng trƣờng hợp, việc đăng ký có thể là một hành động có ý thức hoặc không có ý thức của thuê bao. Ví dụ, trong trƣờng hợp một ông chủ cấp chứng chỉ cho những ngƣời làm công của mình, quá trình đăng ký có thể tự động. Mối quan hệ rất dễ nhận ra. Ông chủ điều hành giống nhƣ một CA, tự động truy nhập vào cơ sở dữ liệu của một ngƣời làm công và từ đó có đƣợc bất cứ thông tin cần thiết nào về ngƣời làm công này.

Trong trƣờng hợp của một CA trung gian, quá trình đăng ký rõ ràng là rất quan trọng, ngƣời cần chứng chỉ phải xin cấp và chấp nhận chứng chỉ. Thêm vào đó, khi đăng ký với một CA, thuê bao cần tiến hành xin cấp chứng chỉ một cách rõ ràng. Sự khác biệt giữa đăng ký và xin cấp một chứng chỉ là ở chỗ, một yêu cầu xin cấp

56

chứng chỉ cần có các thông tin xác định cho từng chứng chỉ đƣợc phát hành, ví dụ nhƣ giá trị của khoá công khai và các trƣờng xác định khác (cần có trong một chứng chỉ).

Có nhiều cách khác nhau để đăng ký và thực hiện các yêu cầu chứng chỉ. Trong môi trƣờng Internet, quá trình này có thể đƣợc tiến hành trực tuyến. Tuy nhiên, CA cần xác thực thuê bao và đảm bảo rằng, khoá công khai và các thông tin của thuê bao có nguồn gốc từ chính thuê bao và không bị làm giả trong quá trình chuyển tiếp từ thuê bao tới CA. CA có thể biết thêm thông tin về thuê bao bằng cách đối thoại trực tiếp với thuê bao hoặc tra cứu một cơ sở dữ liệu của thành viên thứ ba. Trong nhiều trƣờng hợp, việc truyền một thông tin nào đó phải thông qua các kênh truyền thống, không trực tuyến; ví dụ, một ngƣời gửi tài liệu về nhận dạng cho một công chứng viên trong thời gian đăng ký và nhận một mật khẩu bí mật từ một cuộc trao đổi trực tuyến (yêu cầu và cấp một chứng chỉ).

Quá trình tạo chứng chỉ

Quá trình tạo ra một chứng chỉ bao gồm các bƣớc sau đây:

1. CA nhận được các thông tin cần thiết cho chứng chỉ.

2. CA kiểm tra sự chính xác của các thông tin đó (phù hợp với các chuẩn và các chính sách áp dụng).

3. Chứng chỉ được ký bằng một thiết bị ký sử dụng khoá riêng của CA.

4. Một bản sao của chứng chỉ được chuyển tới thuê bao và nếu được yêu cầu, thuê bao sẽ gửi trả lại một xác nhận (cho biết thuê bao đã nhận được chứng chỉ).

5. Như một dịch vụ của CA, một bản sao của chứng chỉ có thể được đưa tới một kho chứa chứng chỉ (ví dụ như một dịch vụ thư mục) để công bố.

6. Như một dịch vụ tuỳ chọn của CA, một bản sao của chứng chỉ có thể được CA lưu giữ.

7. CA ghi lại các chi tiết thích hợp của quá trình tạo chứng chỉ trên một sổ nhật ký kiểm toán.

57

Xác thực chủ thể

Trƣớc khi phát hành một chứng chỉ, CA cần xác nhận đặc điểm nhận dạng của ngƣời, thiết bị hoặc thực thể nắm giữ khoá riêng tƣơng ứng với khoá công khai có trong chứng chỉ. CA hoặc thực thể nào đó đƣợc CA tin cậy phải tiếp cận các đặc điểm tiêu biểu xác định của ngƣời, thiết bị hoặc thực thể yêu cầu.

Việc xác nhận nhận dạng sử dụng một hoặc nhiều kỹ thuật và thủ tục nhƣ sau:

Sự hiện diện cá nhân (Personal presence): Sự xuất hiện của một ngƣời trƣớc một thực thể tin cậy đƣợc công nhận rộng rãi rất quan trọng đối với xác nhận nhận dạng. Nó không những cho phép một CA hoặc ngƣời đƣợc uỷ quyền của CA có đƣợc thông tin, hoặc các đặc điểm điển hình của ngƣời xin cấp chứng chỉ, mà còn cho phép đánh giá tƣ cách của một ngƣời và tuân theo các quy tắc và hành động thích hợp. Một khi thiết lập đƣợc nhận dạng (dựa vào sự hiện diện cá nhân), thì sự xuất hiện của một ngƣời sẽ không cần thiết cho các mục đích chữ ký số. Nhận dạng dựa vào sự hiện diện cá nhân thƣờng đƣợc tiến hành kết hợp với các tài liệu nhận dạng.

Các tài liệu nhận dạng (Identification document): Một CA hoặc một ngƣời uỷ quyền của CA có thể sử dụng các tài liệu nhận dạng, hoặc sử dụng riêng lẻ hoặc sử dụng kết hợp với ngƣời xin cấp chứng chỉ, để xác nhận nhận dạng của ngƣời xin cấp chứng chỉ. Các tài liệu nhƣ vậy (thông thƣờng các tài liệu này có chứa ảnh, ví dụ nhƣ hộ chiếu, thẻ của ngƣời làm công, hoặc bằng lái xe) đƣợc công nhận rộng rãi để đảm bảo xác nhận nhận dạng tin cậy.

Các yêu cầu nhận dạng tài liệu trong thương mại và chính phủ được quan tâm khác nhau. Việc sử dụng các tài liệu nhận dạng (phù hợp với mọi kỹ thuật xác nhận nhận dạng) sẽ kèm theo các rủi ro tiềm ẩn. Các CA và những ngƣời uỷ quyền của CA có thể nhận biết một cách dễ dàng các rủi ro này.

Cơ quan đăng ký địa phƣơng

CA sẽ thƣờng xuyên yêu cầu sự hiện diện cá nhân khi tƣơng tác với các thuê bao; Chẳng hạn nhƣ, việc kiểm tra nhận dạng của ngƣời xin cấp chứng chỉ thông

58

qua việc trình các tài liệu nhận dạng, trao đổi thẻ vật lý hoặc thực hiện các biện pháp sinh trắc học nếu có thể. Điều này gây khó khăn cho CA khi hỗ trợ một số lƣợng lớn các thuê bao, đặc biệt với các thuê bao phân tán về mặt địa lý. Một giải pháp khắc phục điều này là sử dụng những tổ chức trung gian phân tán, họ sẽ liên lạc trực tiếp với thuê bao cần thiết. Những tổ chức trung gian này đƣợc gọi là cơ quan đăng ký địa phƣơng (LRA).

Cơ quan đăng ký địa phƣơng là một ngƣời hoặc tổ chức hỗ trợ cục bộ cho một nhóm các thuê bao của CA, các thuê bao này có thể ở cách xa CA. Cơ quan đăng ký địa phƣơng không tự mình phát hành các chứng chỉ, đúng hơn là cơ quan đăng ký địa phƣơng phê chuẩn việc xin cấp chứng chỉ. Sau đó, CA phát hành các chứng chỉ. Các chức năng mà LRA cung cấp có thể gồm có:

(a)Đăng ký, xoá đăng ký và thay đổi các thuộc tính của các thuê bao. (b)Nhận dạng và xác thực các thuê bao.

(c)Xem xét các yêu cầu về sinh cặp khoá và tạo chứng chỉ, hoặc khôi phục lại các khoá đã được sao lưu.

(d)Chấp nhận và xem xét các yêu cầu treo và huỷ bỏ chứng chỉ.

(e)Phân phối các thẻ cá nhân cho những người được uỷ quyền nắm giữ chúng và khôi phục lại các thẻ quá hạn do những người này gửi đến.

Cập nhật chứng chỉ

Mọi chứng chỉ đều có thời hạn, vấn đề này thuộc trách nhiệm của CA quản lý và thu hồi. Nói chung, các chứng chỉ có thể đƣợc thay thế dựa vào thời hạn kết thúc. Các cặp khoá cũng cần đƣợc thay thế định kỳ và từ đó tạo ra một chứng chỉ mới. Việc thu hồi và cập nhật các chứng chỉ thƣờng đi đôi với việc thu hồi và cập nhật các cặp khoá. (Ngoại trừ trƣờng hợp, các CA có thể phát hành một chứng chỉ đã đƣợc cập nhật cho cặp khoá chƣa hết hạn).

59

Đôi khi, việc cập nhật chứng chỉ đƣợc thực hiện nhƣ một quá trình trong suốt đối với thuê bao nếu mục đích của việc cập nhật chứng chỉ chỉ để cập nhật cặp khoá. Ví dụ, các sản phẩm mật mã có khả năng phát hiện tự động một cặp khoá đã hết hạn, cập nhật cặp khoá này và đối thoại truyền thông cần thiết với một CA để phát hành một chứng chỉ mới, tất cả những việc này không có sự tham gia của thuê bao.

Nếu nhƣ việc cập nhật một chứng chỉ kéo theo một thay đổi nào đó, ví dụ nhƣ nếu thông tin nhận dạng nào đó của thuê bao có trong chứng chỉ bị thay đổi, hoặc nếu CA có chính sách yêu cầu xác nhận các thông tin của chứng chỉ một cách định kỳ từ thuê bao, thì bắt buộc thuê bao tham gia vào quá trình cập nhật. Thuê bao đƣợc thông báo về sự cập nhật và có thể xác nhận chấp nhận một chứng chỉ mới một cách rõ ràng.

Một phần của tài liệu PKI và kỹ thuật đảm bảo an toàn dữ liệu (Trang 58 - 62)

Tải bản đầy đủ (PDF)

(109 trang)