CHƯƠNG II: TỔNG QUAN VỀ AN NINH TRONG THÔNG TIN DI ĐỘNG
CHƯƠNG 3: CÁC KỸ THUẬT AN NINH SỬ DỤNG TRONG THÔNG TIN DI ĐỘNG
3.4 Cơ sở hạ tầng khoá công cộng
Cơ sở hạ tầng khoá chung (PKI - Public Key Infrastructure) là một khái niệm được sử dụng để mô tả một tổ chức hoàn chỉnh của các hệ thống và các nguyên tắc để xác định một hệ thống an ninh riêng lẻ. Nhóm nghiên cứu X.509 của lực lượng kỹ thuật Internet (IETF - Internet Engineering Task Force) định
Chương I: Tổng quan về thông tin di động
nghĩa PKI là “một tập hợp phần cứng, phần mềm, nhân lực và các thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và huỷ bỏ các chứng nhận dựa trên mật mã khoá công cộng”.
Các thành phần của PKI bao gồm:
• Các nhà thẩm quyền cấp chứng nhận chịu trách nhiệm đối với việc ban hành và huỷ bỏ chứng nhận.
• Các cơ quan đăng ký chịu trách nhiệm liên kết giữa các khoá công cộng với các nhận dạng của người sở hữu chúng.
• Những người sở hữu chứng nhận là những người được phép lưu hành chứng nhận tức là người đó có thể sử dụng để đánh dấu một tài liệu số.
• Kho dùng để lưu trữ các chứng nhận cũng như các danh sách huỷ bỏ chứng nhận (CRL: Certificate Revocation Lists).
• Chính sách an ninh để định hướng an ninh cho một tổ chức
Các thành viên PKI có thể thỏa thuận một thời gian sống tiêu chuẩn cho một chứng nhận. Và vì thế xác định khi nào một chứng nhận bị hết hạn. Ngoài ra Thẩm quyền chứng nhận (CA) có thể công bố một CRL (Certificate Revocation List: danh sách hủy bỏ chứng nhận), để các thành viên PKI biết các chứng nhận không còn hợp lệ đối với CA.
Các quan hệ tin tưởng giữa CA và các thành viên PKI khác phải được thiết lập trước khi xảy ra giao dịch PKI. Các quan hệ này thường nằm ngoài phạm vị PKI và vì thế cũng nằm ngoài phạm vi công nghệ nối mạng. Các quan hệ tin tưởng PKI có thể được thiết lập trên cơ sở địa lý, chính trị, xã hội, dân tộc và có thể mở rộng cho các công nghiệp, các nước, các nhóm dân cư hay các thực thể khác được ràng buộc bởi các mối quan tâm chung. Các mô hình tin tưởng PKI có thể về mặt lý thuyết dựa trên một CA duy nhất được sử dụng để tạo lập PKI trên toàn thế giới giống như Internet toàn cầu hay một phân cấp các CA phân bố (xem hình 3.3) trong đó mỗi CA có thể được tin tưởng sau khi đi qua một chuỗi chứng nhận để đến một CA chung được các phía tham gia thông tin an ninh tin tưởng.
Chương I: Tổng quan về thông tin di động
,
Chøng nhËn cña CA cña A
CA cña A
Chøng nhËn
cña A Chøng nhËn
cña B
CA cña A Chøng nhËn cña CA cña A CA gèc
MËt m· ho¸ b»ng kho¸ c«ng céng cña B, nhËn ®îc qua chøng nhËn cña B + nhËn d¹ng cña A qua chøng nhËn cña A
A B
Hình 3.3. PKI dựa trên phân cấp CA phân bố
Hình 3.3 trình bày trường hợp hai phía A và B muốn trao đổi bí mật. A nhận được khóa công cộng từ chứng nhận B. Vì chứng nhận này được ký bởi khóa khóa riêng của CA của B, nên nó có thể được kiểm tra tại CA của B bằng khoá công cộng CA của B nhận được từ chứng nhận CA của B. Đến lượt mình chứng nhận CA của B lại được kiểm tra bằng khóa công cộng nhận được từ CA gốc và khóa này đựơc đảm bảo là hợp lệ vì nó đã được chuyển thành mã của PKI client trong modul phần mềm của A. Sau khi đã có khóa công cộng của B, A mật mã hóa bí mật bằng cách sử dụng khoá này, sau đó nó gửi bản tin đã được mật mã hóa đến B cùng với chứng nhận của chính nó (của A) và MD của bí mật được mật mã hóa, được tính toán theo khóa riêng của A. Khi nhận được bản tin này, B kiểm tra bí mật được mã hóa đến từ A bằng cách kiểm tra MD trên cơ sở sử dụng khóa công cộng A nhận được từ chứng nhận A, sau đó nó tiến hành giải mật mã trên cơ sở sử dụng khóa riêng B.
Chứng nhận có thể được gửi đi ở các khuôn dạng khác nhau. Tiêu chuẩn an ninh thực tế được công nghiệp tiếp nhận rộng rãi là [X509] do ITU định nghĩa.
Các thực thể công cộng và tư dựa trên các dịch vụ (tin tưởng) do một CA chung cung cấp và tiếp nhận các chứng chỉ của nó từ PKI. Các thành viên của các nhóm PKI có thể dễ dàng tự nhận dạng đến một thành viên khác dựa trên các chứng nhận do CA cung cấp. Để vậy, các thành viên của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viên của PKI, CA chứ không với các thành viên khác. Vì thế nói một cách ngắn gọn, có thể định nghĩa PKI như một
Chương I: Tổng quan về thông tin di động
thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập hợp các chính sách và các quy tắc ràng buộc các khóa công cộng với các nhận dạng của các thực thể phát hành khóa thông qua việc sử dụng một CA.
Ba chức năng chính của PKI gồm:
• Chứng nhận
• Công nhận hợp lệ
• Hủy
Chứng nhận hay ràng buộc một khóa với một nhận dạng bằng một chữ ký được thực hiện bởi CA, còn công nhận có hợp lệ hay chuyên môn hơn, kiểm tra nhận thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Quá trình chứng nhận bao gồm việc tạo ra một cặp khóa công cộng bao gồm khóa công cộng và khóa riêng do người sử dụng tạo ra và trình cho CA trong một phần của yêu cầu hay do CA thay mặt người sử dụng tạo ra. Công nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phát hành đối chiếu với CRL và khóa công cộng của CA. Hủy một chứng nhận hiện có trước khi hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật CRL thông tin mới. Trong một kịch bản điển hình, khi người sử dụng cần nhận hay công nhận một chứng nhận được trình bày là hợp lệ, nó gửi yêu cầu này đến CA. Sau khi chứng nhận được yêu cầu được phát đi hay tính hợp lệ của nó được kiểm tra, thông tin tương ứng được CA gửi vào một kho chứng chỉ, trong kho có cả CRL.