Lƣợc đồ trong hình 2.3 rất hấp dẫn nhƣng nó cũng có một số nhƣợc điểm. Cơ quan quản lý khoá công khai gần giống nhƣ một cổ chai trong hệ thống. Ngƣời sử dụng phải yêu cầu cơ quan quản lý cấp khoá công khai cho ngƣời sử dụng khác khi họ muốn liên lạc. Nhƣ đã trình bày từ trƣớc, cơ quan quản lý duy trì danh bạ (mỗi đầu vào bao gồm tên và khoá công khai) - đây cũng là chính là điểm yếu dễ bị giả mạo.
35
Một giải pháp lựa chọn là sử dụng chứng chỉ. Các thành viên sử dụng chứng chỉ này để trao đổi khoá mà không cần liên lạc với cơ quan quản lý khoá công khai. Mỗi chứng chỉ chứa một khoá công khai và các thông tin khác. Nó đƣợc một cơ quan quản lý chứng chỉ tạo ra và phát hành cho các thành viên. Một thành viên chuyển thông tin khoá của mình cho thành viên khác thông qua các chứng chỉ. Các thành viên khác có thể kiểm tra chứng chỉ do cơ quan quản lý tạo ra.
Chúng ta có thể đƣa vào lƣợc đồ này các yêu cầu nhƣ sau:
1. Một thành viên có thể đọc chứng chỉ để xác định tên và khoá công khai của ngƣời sở hữu chứng chỉ.
2. Mọi thành viên có thể kiểm tra: nguồn gốc của chứng chỉ và nó có bị giả mạo không.
3. Chỉ có cơ quan quản lý chứng chỉ mới có thể tạo ra và cập nhật các chứng chỉ.
Và một yêu cầu đƣợc bổ sung thêm nhƣ sau:
4. Mọi thành viên có thể kiểm tra sự lƣu hành của chứng chỉ.
Có nhiều kiểu chứng chỉ đƣợc sử dụng cho các mục đích khác nhau. Một trong các kiểu chứng chỉ quan trọng là chứng chỉ khoá công khai. Trong đó, khoá công khai đƣợc gắn kết chặt chẽ với một cá nhân, một thiết bị, hoặc một thực thể riêng biệt. Chứng chỉ khoá công khai đƣợc một cơ quan chứng thực (CA) ký. CA chứng
Tên của CA Tên của CA Khoá công khai
của chủ thể
Khoá công khai của chủ thể Thông tin nhận dạng chủ thể Thông tin nhận dạng chủ thể Chữ ký số của CA Chữ ký số của CA Tạo chữ ký số Tạo chữ ký số Khoá riêng của CA Khoá riêng của CA
Hình 2.4 Chứng chỉ khoá công khai đơn giản
Hình 2.4 Chứng chỉ khoá công khai đơn giản
36
thực các thuộc tính của chủ thể nắm giữ chứng chỉ khoá công khai. Chủ thể nắm giữ là một ngƣời, thiết bị, hoặc thực thể nào đó, nói chung là đối tƣợng nắm giữ khoá riêng tƣơng ứng. Các thuật ngữ chứng chỉ hay chứng chỉ khóa công khai chỉ là một. Một chứng chỉ khoá công khai đơn giản có dạng nhƣ sau:
Chuẩn hoá khuôn dạng chứng chỉ là một trong những vấn đề cần giải quyết khi nghiên cứu xây dựng các hệ thống PKI. Chuẩn khuôn dạng chứng chỉ X509 V3 là một trong những chuẩn đƣợc sự dụng rộng rãi nhất hiện nay.
Khuôn dạng chứng chỉ X.509 gồm có 3 phiên bản, phiên bản 1 ra đời vào năm 1988, phiên bản 2 ra đời vào năm 1993 và phiên bản 3 ra đời vào năm 1996. Các khuôn dạng của phiên bản 1 và 2 đƣợc trình bày sau đây, chúng đƣợc sử dụng trong tất cả các bổ sung của X.509 cho đến năm 1996. Các yếu tố cơ bản đƣợc trình bày trong hình 2.5.
Các trƣờng của chứng chỉ nhƣ sau:
(a)Phiên bản (Version): Chỉ ra dạng phiên bản 1, 2, 3.
(b)Số hiệu (Serial Number): Số hiệu nhận dạng duy nhất của chứng chỉ này. Nó đƣợc CA phát hành gán cho.
(c)Tên thuật toán ký (Signature): Tên thuật toán ký đƣợc CA sử dụng để ký chứng chỉ
(d)Người phát hành (Issuer): Tên theo chuẩn X.500 của CA phát hành
(e)Thời gian hợp lệ (Validity): Ngày/giờ có hiệu lực và hết hạn của một chứng chỉ.
(f) Chủ thể (Subject): Tên X.500 của đối tƣợng nắm giữ khoá riêng (tƣơng ứng với khoá công khai đƣợc chứng thực).
(g)Thông tin về khoá công khai của chủ thể (Subject Public-key Information): Gồm có khoá công khai của chủ thể cùng với một tên thuật toán sử dụng khoá công khai này.
(h)Tên duy nhất của người phát hành (Issuer unique identifier): Là một chuỗi bit tuỳ chọn, đƣợc sử dụng để chỉ ra tên rõ ràng của CA phát hành, trong trƣờng hợp
37
cùng một tên đƣợc gán cho các thực thể khác nhau trong cùng thời gian
(i) Tên duy nhất của chủ thể (Subject unique identifier): Là một chuỗi bit tuỳ chọn, đƣợc sử dụng để chỉ ra tên rõ ràng của chủ thể, trong trƣờng hợp cùng một tên đƣợc gán cho các thực thể khác nhau trong cùng thời gian.
Việc sử dụng chứng chỉ rất đơn giản. Khi một ngƣời sử dụng đã có khoá công khai của CA một cách an toàn và tin tƣởng CA phát hành các chứng chỉ hợp lệ. Nếu ngƣời dùng cần khoá công khai của một trong các thuê bao của CA này, anh ta có thể thu đƣợc khoá công khai của thuê bao đó bằng cách lấy từ bản sao chứng chỉ của thuê bao. Chứng chỉ của thuê bao có thể đƣợc kiểm tra bằng cách kiểm tra chữ
Không có trong phiên bản 1 Không có trong phiên bản 1 Sinh chữ ký số Sinh chữ ký số Khoá riêng của CA Khoá riêng của CA Phiên bản (của khuôn dạng chứng
chỉ)
Phiên bản (của khuôn dạng chứng chỉ)
Số hiệu của chứng chỉ Số hiệu của chứng chỉ
Tên duy nhất của ngƣời phát hành Tên duy nhất của
ngƣời phát hành
Chữ ký số của CA Chữ ký số của CA Tên duy nhất của chủ thể Tên duy nhất của chủ thể Thời gian hợp lệ (Ngày/giờ bắt đầu
và kết thúc)
Thời gian hợp lệ (Ngày/giờ bắt đầu và kết thúc)
Tên thuật toán ký (CA sử dụng để ký lên chứng chỉ)
Tên thuật toán ký (CA sử dụng để ký lên chứng chỉ)
Tên ngƣời phát hành chứng chỉ (CA) theo chuẩn X500 Tên ngƣời phát hành chứng chỉ
(CA) theo chuẩn X500
Tên chủ thể theo chuẩn X500 Tên chủ thể theo chuẩn X500
Thông tin khoá công khai của chủ thể Thông tin khoá công khai của chủ thể Tên Ttoán Tên Ttoán
Khoá công khai Khoá công khai
Hình 2.5 Khuôn dạng chứng chỉ trong phiên bản 1 và 2 của X.509
Hình 2.5 Khuôn dạng chứng chỉ trong phiên bản 1 và 2 của X.509
38
ký của CA có trên chứng chỉ. Ngƣời sử dụng các chứng chỉ theo cách này đƣợc gọi là một thành viên tin cậy.
Phân phối khoá công khai theo kiểu này tƣơng đối đơn giản và kinh tế khi tiến hành trên diện rộng và theo hình thức tự động, bởi vì một trong các đặc tính quan trọng của các chứng chỉ là: "Các chứng chỉ có thể được phát hành mà không cần phải bảo vệ thông qua các dịch vụ an toàn truyền thông truyền thống để đảm bảo tính bí mật, tính xác thực và tính toàn vẹn.”
Chúng ta không cần giữ bí mật khoá công khai, nhƣ vậy các chứng chỉ không phải giữ bí mật. Hơn nữa, ở đây không đòi hỏi các yêu cầu về tính xác thực và toàn vẹn, do các chứng chỉ tự bảo vệ (chữ ký số của CA có trong chứng chỉ cung cấp bảo vệ xác thực và toàn vẹn). Chứng chỉ không thể làm giả bởi vì ngƣời sử dụng chứng chỉ có thể kiểm tra chính xác chữ ký số của CA trên chứng chỉ. Chính vì vậy, các chứng chỉ đƣợc phát hành theo các cách không an toàn, ví dụ nhƣ thông qua các máy chủ, các hệ thống danh bạ và/hoặc các giao thức truyền thông không an toàn.
Lợi ích cơ bản của một hệ thống phân phối khoá công khai bằng chứng chỉ là một ngƣời sử dụng có thể có đƣợc một số lƣợng lớn các khoá công khai của các thành viên khác một cách đáng tin cậy, xuất phát từ thông tin khoá công khai của một thành viên, đó chính là khoá công khai của CA.