Hạ tầng khóa công khai (PKI: Pubilic Key Infrastructure) là thuật ngữ được sử dụng để mô tả một tổ chức hoàn thiện của các hệ thống và các quy tắc xác định một hệ thống an ninh. Nhóm công tác IETF X.509 định nghĩa PKI như là “tập phần cứng, phần mềm, con người và các thủ tục cần thiết để tạo lập, quản lý, lưu giữ và hủy các chứng nhận đã trên mật mã khóa công khai”.
•Các thẩm quyền chứng nhận (CA) chụi trách nhiệm phát hành và hủy các chứng chỉ.
•Các thẩm quyền đăng ký chịu trách nhiệm ràng buộc các khóa công
khai với các nhận dạng của các sở hữu khóa.
•Các sở hữu khóa là những người được cấp phát chứng nhận và sử dụng
các chứng nhận bày để ký Các tài liệu số.
•Các kho lưu các chứng nhận cũng như danh sách hủy chứng nhận .
•Chính sách an ninh quy định hướng dẫn mức cao nhất của tổ chức về
an ninh.
PKI là một khái niệm an ninh quan trọng. Các khóa công khai đã được mô tả ngắn gọn trong phần trước và được sử dụng trong nối mạng số liệu để kiểm tra các chữ ký số, bản thân chúng không mang bất cứ thông tin nào về các thực thể cung cấp các chữ ký.
Công nghệ nối mạng số liệu thừa nhận vấn đề này và tiếp nhận các chứng nhận an ninh để ràng buộc khóa công khai và nhận dạng thực thể phát hành khóa. Đến lượt mình thực thể này lại được kiểm tra bằng cách sử dụng một khóa công khai được tin tưởng đã biết bằng cách sử dụng một chứng nhận được phát đi từ thẩm quyền chứng nhận (CA) mức phân cấp cao hơn. Các chứng nhận được phát hành và được thi hành bởi một thẩm quyền chứng nhận. Thẩm quyền này được phép cung cấp các dịch vụ này cho các thực thể được nhận dạng hợp lệ khi chúng yêu cầu. Để thực hiện chức năng của mình, một CA phải được tin tưởng bởi các thực thể (các thành viên của PKI) dựa trên các dịch vụ của nó.
Tất cả các chứng nhận được ký bằng một khóa riêng của CA. Người sử dụng chứng nhận có thể xem kiểm tra thông tin của chứng nhận có hợp lệ không bằng cách giải mật mã chữ ký bằng một khóa kiểm tra công khai và kiểm tra xem nó có phù hợp với MD của nội dung nhận được trong chứng nhận hay không. Chữ ký thường là một MD được mật mã hóa.
Các thành viên PKI có thể thỏa thuận một thời gian hiệu lực tiêu chuẩn cho một chứng nhận. Và vì thế xác định khi nào một chứng nhận bị hết hạn. Ngoài ra thẩm quyền chứng nhận (CA) có thể công bố một CRL (Certificate Revocation List: danh sách hủy bỏ chứng nhận), để các thành viên PKI biết các chứng nhận không còn hợp lệ đối với CA.
Các quan hệ tin tưởng giữa CA và các thành viên PKI khác phải được thiết lập trước khi diến ra giao dịch PKI. Các quan hệ này thường nằm ngoài phạm vi PKI và vì thế cũng nằm ngoài phạm vi công nghệ nối mạng. Các quan hệ tin tưởng PKI có thể được thiết lập trên cơ sở địa lý, chính trị, xã hội, dân tộc và có thể mở rộng cho các nền công nghiệp, các nước, các nhóm dân cư hay các thực thể khác ràng buộc bởi các mối quan tâm chung. Các mô hình tin tưởng PKI có thể về mặt lý thuyết dựa trên một CA duy nhất được sử dụng để tạo lập PKI trên toàn thế giới giống như Internet toàn cầu hay một phân cấp các CA phân bố (xem hình 1.4) trong đó mỗi CA có thể được tin tưởng sau khi đi qua một chuỗi chứng nhận để đến một CA chung được các phía tham gia thông tin an ninh tin tưởng.
Hình 1.5. trình bày trường hợp hai phía A và B muốn trao đổi bí mật) một khóa chia sẻ phiên hoặc thông tin để tạo ra khóa này). A nhận được khóa công khai từ chứng nhận B. Vì chứng nhận này được ký bởi khóa riêng của CA của B, nên nó có thể được kiểm tra tại CA của B bằng khóa công khai CA của B nhận được từ chứng nhận CA của B. Đến lượt mình chứng nhận CA của B lại được kiểm tra bằng khóa công khai nhận được từ CA gốc và khóa này được đảm bảo là hợp lệ vì nó đã được chuyển thành mã của PKI client trong mô- đun phần mềm của A. Sau khi đã có khóa công khai của B, A mật mã bí mật bằng cách sử dụng khóa này (xem hình 1.5) sau đó gửi bản tin đã được mật mã hóa đến B cùng với chứng nhận của chính nó (của A) mà MD của bí mật được mật mã hóa, được tính toán theo khóa riêng của A. Khi nhận được bản tin này, B kiểm tra bí mật được mã hóa đến từ A như sau: giải mật mã bí mật bằng khóa riêng của mình, tính toán MD’ từ kết quả nhận được, sử dụng khóa công khai A để giải mật mã MD nhận được từ A, so sánh MD’ với MD, nếu bằng nhau thì nhận thực thành công và bí mật nhận được sau giải mật mã là bí mật cần tìm.
Hình 1.5. Nhận thực bằng chữ ký điện tử
Chứng nhận có thể được gửi đi ở các khuôn dạng khác nhau. Tiêu chuẩn an ninh thực tế được tiếp nhận rộng rãi là X. 509 do ITU định nghĩa. Các
thực tế công cộng và riêng dựa trên các dịch vụ (tin tưởng) do một CA chung cung cấp và tiếp nhận các chứng nhận của nó từ PIK. Các thành viên khác của các nhóm PKI có thể dễ dàng tự nhận dạng đến một thành viên khác dựa trên các chứng nhận do CA cung cấp. Do vậy, các thành viên của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viên của PKI, CA chứ không với các thành viên khác. Vì thế nói một cách ngắn gọn, có thể định nghĩa PKI như một thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập hợp các chính sách và các quy tắc ràng buộc các khóa chung với các nhận dạng của các thực thể phát hành khóa thông qua việc sử dụng một CA:
Ba chức năng chính của PKI gồm:
•Chứng nhận.
•Công nhận hợp lệ.
•Hủy.
Chứng nhận hay ràng buộc một khóa với một nhận dạng bằng một chữ ký được thực hiện bởi CA, còn công nhận có hợp lệ hay chuyên môn hơn, kiểm tra nhận thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Quá trình chứng nhận bao gồm việc tạo ra một cặp khóa bao gồm khóa công khai và khóa riêng do người sử dụng tạo ra và trình cho CA trong một phần của yêu cầu hay do CA thay mặt người sử dụng tạo ra. Công nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phát hành đối chiếu với CRL và khóa công khai của CA. Hủy một chứng nhận hiện có trước khi hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật CRL thông tin mới. Trong một kịch bản điển hình, khi người sử dụng cần nhận hay công nhận một chứng nhận được yêu cầu được phát đi hay tính hợp lệ của nó được kiểm tra, thông tin tương ứng được CA gửi vào một kho chứng nhận, trong kho có cả CRL.
PKI là một khái niệm nối mạng khá mới được định nghĩa bởi IETF, các tiêu chuẩn ITU và các dự thảo. Hiện nay nó nhanh chóng được công nghiệp
mạng tiếp nhận kể cả nối mạng riêng ảo (VPN). Nhận thực và các dịch vụ quản lý khóa được PKI cung cấp thông qua sử dụng các chứng nhận là một cơ chế hoàn hảo hỗ trợ các yêu cầu an ninh VPN chặt chẽ. Để sử dụng các dịch vụ này, các máy khách VPN và các cổng VPN phải hỗ trợ các chức năng PKI như tạo khóa, các yêu cầu chứng nhận và các quan hệ tin tưởng CA chung.