Phân phối chứng chỉ

Một phần của tài liệu PKI và kỹ thuật đảm bảo an toàn dữ liệu (Trang 62 - 65)

Để mã hoá dữ liệu cho một thành viên từ xa, hoặc để một thành viên từ xa có thể kiểm tra một chữ ký số, một ngƣời sử dụng cần có bản sao chứng chỉ, từ đó có đƣợc khoá công khai của thành viên ở xa, các chứng chỉ của một CA bất kỳ phải tạo thành một đƣờng dẫn chứng thực đầy đủ. Lƣu ý rằng, đây không hoàn toàn là một vấn đề an toàn mà là vấn đề phổ biến dữ liệu, chứng chỉ không cần chuyển giao thông qua các hệ thống hoặc các giao thức an toàn bởi vì chứng chỉ tự bảo vệ. Mục này sẽ trình bày một số cách phân phối chứng chỉ khác nhau.

Chứng chỉ kèm theo chữ ký

Với một chữ ký số, chúng ta có nhiều cách phân phối chứng chỉ thích hợp. Nói chung, ngƣời ký sẽ có một bản sao chứng chỉ của mình và gắn kèm bản sao này với chữ ký số. Nếu thực hiện đƣợc điều này, bất cứ ngƣời nào muốn kiểm tra chữ ký phải có chứng chỉ trong tay. Tƣơng tự, ngƣời ký có thể gắn kèm các chứng chỉ khác, chúng có thể cần cho việc phê chuẩn chứng chỉ của ngƣời ký. Ví dụ nhƣ các chứng chỉ dành cho CA của ngƣời ký nhƣng lại do các CA khác phát hành. Hầu hết

60

các giao thức truyền thông có sử dụng chữ ký số thƣờng gắn kèm các chứng chỉ vào các chữ ký số theo cách này.

Việc gắn kèm các chứng chỉ vào các chữ ký số có thể gây lãng phí trong truyền thông và lãng phí khả năng lƣu giữ vì ngƣời kiểm tra chữ ký có thể đã có chứng chỉ cần thiết trong tay (chứng chỉ này đƣợc lƣu giữ cục bộ). Chính vì lý do này, ngƣời ký tự lựa chọn, nên hay không nên gắn kèm các chứng chỉ.

Tƣơng tự, ngƣời ký sẽ không biết chính xác ngƣời kiểm tra sẽ cần một hay nhiều chứng chỉ, cho nên sẽ tồn tại nhiều đƣờng dẫn chứng thực đi từ những ngƣời kiểm tra khác nhau đến một ngƣời ký. Do vậy việc ngƣời ký phải đảm bảo rằng tất cả các chứng chỉ yêu cầu đƣợc gắn kèm vào một chữ ký là không thực tế. Do vậy, ngƣời kiểm tra cần một giải pháp lƣu trữ để lấy lại các chứng chỉ bị thất lạc, ví dụ nhƣ là một danh bạ hoặc kho chứa.

Phân phối thông qua dịch vụ thƣ mục

Khi sử dụng kỹ thuật khoá công khai để mã hoá một thông báo, trƣớc tiên ngƣời khởi tạo thông báo lấy các khoá công khai đã đƣợc chứng thực của tất cả những ngƣời nhận. Anh ta có đƣợc nó có thể do tình cờ có đƣợc từ các bản sao của chứng chỉ khoá công khai đƣợc yêu cầu lƣu giữ cục bộ. Nhƣng trong trƣờng hợp tổng quát, anh ta phải tìm kiếm các chứng chỉ cần thiết. Để giải quyết vấn đề này, một dịch vụ danh bạ công cộng hoặc kho lƣu giữ (có thể phân phối các chứng chỉ) là đặc biệt thích hợp. Ngƣời khởi tạo thông báo lấy lại chứng chỉ của một ngƣời nhận thông qua một thƣ mục, có thể kết hợp với việc lấy thông tin, ví dụ nhƣ địa chỉ thƣ tín điện tử của ngƣời nhận.

Một kỹ thuật dịch vụ danh bạ trực tuyến toàn diện đã và đang đƣợc phát triển thông qua các quá trình chuẩn hoá của Liên minh Viễn thông Quốc tế (ITU) và Tổ chức tiêu chuẩn hoá Quốc tế (IOS). Các chuẩn danh bạ đƣợc ITU thiết kế là X.500. Chuẩn X.500 này cung cấp cơ sở cho việc xây dựng một dịch vụ danh bạ phân tán

61

đa mục đích bằng cách liên kết các hệ thống máy tính thuộc quyền sở hữu của các nhà cung cấp dịch vụ, các chính phủ và các tổ chức tƣ nhân trên phạm vi toàn cầu. Nhiều ứng dụng lớn có thể đƣợc hỗ trợ, từ tìm kiếm đơn giản tên đến địa chỉ, duyệt qua hoặc tìm kiếm với khoá thuộc tính. Danh bạ X.500 có thể là một nguồn thông tin cho tất cả mọi ngƣời, cho các thành phần của mạng truyền thông, cho các ứng dụng máy tính, hoặc cho các hệ thống tự động khác. Ví dụ, cho những ngƣời dùng của mạng máy tính, chức năng tìm kiếm tên của một ngƣời có thể đƣa ra các thông tin nhƣ số điện thoại, địa chỉ thƣ tín điện tử và các thông tin chi tiết về các giao thức của ứng dụng đƣợc thiết bị của ngƣời này hỗ trợ.

Ngay từ đầu ngƣời ta đã nhận ra xu hƣớng sử dụng các danh bạ X.500 cho việc phân phối các chứng chỉ khoá công khai. Do đó, các chuẩn chứa đầy đủ các đặc tính của các mục dữ liệu đƣợc yêu cầu cho X.500, kết hợp với việc mô tả mức cao các thủ tục quản lý.

Nói chung, sự chấp nhận X.500 trên thị trƣờng chậm hơn nhiều so với mong đợi. Do quá phức tạp, nó không tồn tại cho đến giữa những năm 1990. Nhƣ vậy, cần chọn lựa hợp lý các sản phẩm có chất lƣợng. Hơn nữa, các nhà cung cấp dịch vụ không chấp nhận việc liên kết các danh bạ trực tuyến của họ, lý do là việc liên kết này cho phép các đối tƣợng cạnh tranh có cơ hội truy nhập trực tiếp vào danh sách thuê bao của họ. Tuy vậy, X.500 đang đƣợc đẩy mạnh phát triển trong các công ty lớn và một số tổ chức đang tìm kiếm các cách phân phối chứng chỉ khoá công khai.

Các hệ thống danh bạ độc quyền cũng đƣợc sử dụng để phân phối các chứng chỉ khoá công khai trong các môi trƣờng phần mềm riêng; Ví dụ nhƣ các danh bạ Microsoft Exchange, Lotus Notes và Netware Directory Service.

LDAP là một giao thức truy nhập danh bạ nhanh, tƣơng thích với mô hình danh bạ X.500. LDAP đơn giản hơn nhiều và bổ sung thuận tiện hơn các giao thức của X.500. LDAP tạo thành một giao thức chuẩn hữu ích cho việc truy nhập vào các thông tin đƣợc lƣu giữ trong một thƣ mục, bao gồm cả các chứng chỉ khoá công

62

khai. Lƣu ý rằng, LDAP không cần đến cơ sở dữ liệu danh bạ cơ bản phụ thuộc vào kỹ thuật riêng biệt bất kỳ.

Các giải pháp phân phối khác

Ở đây có một số cách khác dùng cho việc phân phối các chứng chỉ. Nhƣ đã trình bày ở trên, các chứng chỉ không cần đƣợc bảo vệ đặc biệt và nó đƣợc phân phối thông qua các hệ thống không cần tin cậy và sử dụng các giao thức không an toàn. Ngay sau khi các chuẩn thích hợp và các quy ƣớc đƣợc thiết lập, Web là một cách để phổ biến các chứng chỉ từ các máy chủ chuyên dụng. Các chứng chỉ đƣợc sử dụng lặp đi lặp lại nhiều lần cũng thƣờng đƣợc lƣu giữ cục bộ trong các hệ thống sử dụng các khoá công khai.

Một phần của tài liệu PKI và kỹ thuật đảm bảo an toàn dữ liệu (Trang 62 - 65)

Tải bản đầy đủ (PDF)

(109 trang)