- Các hoạt động hủy bỏ
2.3.6.2.Những chức năng bắt buộc trong quản lý PK
Các hoạt động của hệ thống quản lý PKI đã được mô tả trong phần tổng quan về PKI. Trong phạm trù triển khai hệ thống PKI, ta cần tìm hiểu những chức năng mà hệ quản lý PKI bắt buộc phải có. Mặt khác, để đề ra những phần công việc cần lập trình thực
thi trong đồ án thực tập này, ta sẽ lấy những chức năng này làm cơ sở để lập trình thực thi một hệ thống PKI (gồm CA và EE) với các chức năng tối thiểu. Những chức năng bắt buộc đối với hệ thống quản lý PKI gồm có:
1/. Khởi tạo CA gốc
Khi một CA mới tham gia vào hệ thống PKI, nó phải tạo ra các chứng chỉ số theo kiểu tự ký (self-signed). Các chứng chỉ số này được ký với khóa riêng của CA gốc đó và trường mô tả cho kiểu chứng chỉ số là NewWithNew. Nghĩa là, chứng chỉ số được cấp
lần đầu cho các đối tượng trong hệ thống. Kiểu chứng chỉ số này cũng được dùng khi CA muốn gửi chứng chỉ số đến cho một đối tượng mới tham gia hệ thống. Thông điệp chứa chứng chỉ số này được gửi đi sau khi CA thực hiện công việc cập nhật khóa công khai của mình.
Đồng thời với việc tạo và gửi đi các chứng chỉ số của mình đến cho các đối tượng trong hệ thống, CA gốc cũng phải tạo danh sách các chứng chỉ số cần hủy bỏ (CRL) và lưu các chứng chỉ số đã gửi đi vào danh sách này. Đây chính là cơ sở để CA hủy bỏ các khóa và thực hiện các phiên cập nhật khóa của mình.
2/. Cập nhật khóa của CA gốc
Các khóa của CA đều có thời gian hiệu lực nhất định nên chúng cần phải được cập nhật theo định kỳ. Thời gian hiệu lực của khóa sẽ tùy thuộc vào các chính sách được thiết lập đối với hệ thống PKI. Các chứng chỉ số theo kiểu NewWithNew, NewWithOld, và OldWithNew được CA phát hành và gửi đến cho các đối tượng sử dụng đã có mặt trong hệ thống. Những đối tượng này đang nắm giữ chứng chỉ số cũ của CA (kiểu
OldWithOld), khi nhận được các chứng chỉ số mới gửi đến từ CA, có thể chuyển sang
các chứng chỉ số mới theo kiểu NewWithNew một cách an toàn.
Ngoài ra, hoạt động này của CA gốc còn giúp cho các đối tượng sử dụng mới (những đối tượng sẽ nhận được chứng chỉ số kiểu NewWithNew) có thể thu được
chứng chỉ số kiểu OldWithOld một cách an toàn, điều này sẽ giúp cho đối tượng sử dụng mới có thể kiểm tra các dữ liệu đã có (dữ liệu có thể được kiểm tra bởi khóa công khai trong các thông điệp kiểu OldWithOld)
3/. Khởi tạo các CA thứ cấp
Nếu xét trên phương diện các giao thức quản lý, việc khởi tạo một CA thứ cấp cũng giống với việc khởi tạo một EE. Điểm khác biệt duy nhất là các CA thứ cấp cũng phải khởi tạo một CRL của mình.
4/. Tạo lập CRL
Trước khi phát hành và gửi đi các chứng chỉ số, một CA mới được khởi tạo phải tạo ra các CRL trống để chuẩn bị cho việc bổ sung các chứng chỉ số cần hủy bỏ. Các CRL này cũng sẽ được cập nhật thông tin định kỳ theo thời gian hiệu lực của các chứng chỉ số.
Khi một đối tượng trong hệ thống PKI (CA, RA hoặc EE) muốn có được thông tin trạng thái của một CA nào đó, đối tượng này có thể gửi cho CA đo một yêu cầu về các thông tin trên. CA nhận được yêu cầu phải trả lời bằng việc cung cấp ít nhất là các thông tin đã được yêu cầu. Nếu có một số trường thông tin nào đó không thể được đáp ứng thì phải có một thông điệp báo lỗi gửi về cho đối tượng yêu cầu.
* Xác thực ngang hàng
Trong giao thức của việc xác thực ngang hàng, CA yêu cầu sẽ là CA có tên trong trường subject của chứng chỉ số (CA được cấp phát chứng chỉ số). Trong khi đó, CA trả lời sẽ chính là CA đã phát hành chứng chỉ số này. Quá trình xác thực ngang hàng là cần thiết khi các CA muốn trao đổi thông tin với nhau vì nó giúp các CA biết chắc mình đang trao đổi thông tin với đối tượng nào.
* Khởi tạo các EE
Cũng giống như các CA, những EE cũng phải được khởi tạo khi tham gia vào hệ thống PKI. Quá trình khởi tạo cho các đối tượng này bao gồm ít nhất 2 bước sau: