Cơ sở hạ tầng khoỏ chung (PKI - Public Key Infrastructure) là một khỏi niệm được sử dụng để mụ tả một tổ chức hoàn chỉnh của cỏc hệ thống và cỏc nguyờn tắc để xỏc định một hệ thống an ninh riờng lẻ. Nhúm nghiờn cứu X.509 của lực lượng kỹ thuật Internet (IETF - Internet Engineering Task Force) định
Chương I: Tổng quan về thụng tin di động
nghĩa PKI là “một tập hợp phần cứng, phần mềm, nhõn lực và cỏc thủ tục cần thiết để tạo, quản lý, lưu trữ, phõn phối và huỷ bỏ cỏc chứng nhận dựa trờn mật mó khoỏ cụng cộng”.
Cỏc thành phần của PKI bao gồm:
• Cỏc nhà thẩm quyền cấp chứng nhận chịu trỏch nhiệm đối với việc ban hành và huỷ bỏ chứng nhận.
• Cỏc cơ quan đăng ký chịu trỏch nhiệm liờn kết giữa cỏc khoỏ cụng cộng với cỏc nhận dạng của người sở hữu chỳng.
• Những người sở hữu chứng nhận là những người được phộp lưu hành chứng nhận tức là người đú cú thể sử dụng để đỏnh dấu một tài liệu số.
• Kho dựng để lưu trữ cỏc chứng nhận cũng như cỏc danh sỏch huỷ bỏ chứng nhận (CRL: Certificate Revocation Lists).
• Chớnh sỏch an ninh để định hướng an ninh cho một tổ chức
Cỏc thành viờn PKI cú thể thỏa thuận một thời gian sống tiờu chuẩn cho một chứng nhận. Và vỡ thế xỏc định khi nào một chứng nhận bị hết hạn. Ngoài ra Thẩm quyền chứng nhận (CA) cú thể cụng bố một CRL (Certificate Revocation List: danh sỏch hủy bỏ chứng nhận), để cỏc thành viờn PKI biết cỏc chứng nhận khụng cũn hợp lệ đối với CA.
Cỏc quan hệ tin tưởng giữa CA và cỏc thành viờn PKI khỏc phải được thiết lập trước khi xảy ra giao dịch PKI. Cỏc quan hệ này thường nằm ngoài phạm vị PKI và vỡ thế cũng nằm ngoài phạm vi cụng nghệ nối mạng. Cỏc quan hệ tin tưởng PKI cú thể được thiết lập trờn cơ sở địa lý, chớnh trị, xó hội, dõn tộc và cú thể mở rộng cho cỏc cụng nghiệp, cỏc nước, cỏc nhúm dõn cư hay cỏc thực thể khỏc được ràng buộc bởi cỏc mối quan tõm chung. Cỏc mụ hỡnh tin tưởng PKI cú thể về mặt lý thuyết dựa trờn một CA duy nhất được sử dụng để tạo lập PKI trờn toàn thế giới giống như Internet toàn cầu hay một phõn cấp cỏc CA phõn bố (xem hỡnh 3.3) trong đú mỗi CA cú thể được tin tưởng sau khi đi qua một chuỗi chứng nhận để đến một CA chung được cỏc phớa tham gia thụng tin an ninh tin tưởng.
Chương I: Tổng quan về thụng tin di động , Chứng nhận của CA của A CA của A Chứng nhận của A Chứng nhậncủa B CA của A Chứng nhận của CA của A CA gốc
Mật mã hoá bằng khoá công cộng của B, nhận được qua chứng nhận của B + nhận dạng của A qua chứng nhận của A
A B
Hỡnh 3.3. PKI dựa trờn phõn cấp CA phõn bố
Hỡnh 3.3 trỡnh bày trường hợp hai phớa A và B muốn trao đổi bớ mật. A nhận được khúa cụng cộng từ chứng nhận B. Vỡ chứng nhận này được ký bởi khúa khúa riờng của CA của B, nờn nú cú thể được kiểm tra tại CA của B bằng khoỏ cụng cộng CA của B nhận được từ chứng nhận CA của B. Đến lượt mỡnh chứng nhận CA của B lại được kiểm tra bằng khúa cụng cộng nhận được từ CA gốc và khúa này đựơc đảm bảo là hợp lệ vỡ nú đó được chuyển thành mó của PKI client trong modul phần mềm của A. Sau khi đó cú khúa cụng cộng của B, A mật mó húa bớ mật bằng cỏch sử dụng khoỏ này, sau đú nú gửi bản tin đó được mật mó húa đến B cựng với chứng nhận của chớnh nú (của A) và MD của bớ mật được mật mó húa, được tớnh toỏn theo khúa riờng của A. Khi nhận được bản tin này, B kiểm tra bớ mật được mó húa đến từ A bằng cỏch kiểm tra MD trờn cơ sở sử dụng khúa cụng cộng A nhận được từ chứng nhận A, sau đú nú tiến hành giải mật mó trờn cơ sở sử dụng khúa riờng B.
Chứng nhận cú thể được gửi đi ở cỏc khuụn dạng khỏc nhau. Tiờu chuẩn an ninh thực tế được cụng nghiệp tiếp nhận rộng rói là [X509] do ITU định nghĩa. Cỏc thực thể cụng cộng và tư dựa trờn cỏc dịch vụ (tin tưởng) do một CA chung cung cấp và tiếp nhận cỏc chứng chỉ của nú từ PKI. Cỏc thành viờn của cỏc nhúm PKI cú thể dễ dàng tự nhận dạng đến một thành viờn khỏc dựa trờn cỏc chứng nhận do CA cung cấp. Để vậy, cỏc thành viờn của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viờn của PKI, CA chứ khụng với cỏc thành viờn khỏc. Vỡ thế núi một cỏch ngắn gọn, cú thể định nghĩa PKI như một
Chương I: Tổng quan về thụng tin di động
thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập hợp cỏc chớnh sỏch và cỏc quy tắc ràng buộc cỏc khúa cụng cộng với cỏc nhận dạng của cỏc thực thể phỏt hành khúa thụng qua việc sử dụng một CA.
Ba chức năng chớnh của PKI gồm:
• Chứng nhận
• Cụng nhận hợp lệ
• Hủy
Chứng nhận hay ràng buộc một khúa với một nhận dạng bằng một chữ ký được thực hiện bởi CA, cũn cụng nhận cú hợp lệ hay chuyờn mụn hơn, kiểm tra nhận thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Quỏ trỡnh chứng nhận bao gồm việc tạo ra một cặp khúa cụng cộng bao gồm khúa cụng cộng và khúa riờng do người sử dụng tạo ra và trỡnh cho CA trong một phần của yờu cầu hay do CA thay mặt người sử dụng tạo ra. Cụng nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phỏt hành đối chiếu với CRL và khúa cụng cộng của CA. Hủy một chứng nhận hiện cú trước khi hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật CRL thụng tin mới. Trong một kịch bản điển hỡnh, khi người sử dụng cần nhận hay cụng nhận một chứng nhận được trỡnh bày là hợp lệ, nú gửi yờu cầu này đến CA. Sau khi chứng nhận được yờu cầu được phỏt đi hay tớnh hợp lệ của nú được kiểm tra, thụng tin tương ứng được CA gửi vào một kho chứng chỉ, trong kho cú cả CRL.