2.1.7.1. Giới thiệu hạ tầng khóa công khai
Trong mật mã học, hạ tầng khóa công khai “public key infrastructure”, viết tắt PKI là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng
mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực khóa công khai.
Khái niệm hạ tầng khóa công khai (PKI) thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mật mã hóa khóa công khai trong trao đổi thông tin. Tuy nhiên phần sau được bao gồm không hoàn toàn chính xác bởi vì các cơ chế trong PKI không nhất thiết sử dụng các thuật toán mã hóa khóa công khai.
PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng thông tin từ các chứng thực khóa công khai để mật mã hóa và giải mã thông tin trong quá trình trao đổi. Thông thường, PKI bao gồm phần mềm máy khách (client), phần mềm máy chủ (server), phần cứng (như thẻ thông minh) và các quy trình hoạt động liên quan. Người sử dụng cũng có thể ký các văn bản điện tử với khóa bí mật của mình và mọi người đều có thể kiểm tra với khóa công khai của người đó. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước.
2.1.7.2. Chứng chỉ số
Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá công khai (public key). Giống như bằng lái xe, hộ chiếu, chứng minh thư hay những giấy tờ nhận diện cá nhân thông thường khác, chứng chỉ số cung cấp bằng chứng cho sự nhận diện của một đối tượng. Hệ mã khoá công khai sử dụng chứng chỉ số để giải quyết vấn đề mạo danh.
Để lấy được bằng lái xe, bạn cần phải đăng ký với Phòng cảnh sát giao thông. Họ sẽ cấp cho bạn bằng lái xe sau khi đã xác định các thông tin về bạn như: có khả năng lái xe, họ và tên, địa chỉ, và những thông tin cần thiết khác. Để lấy được chứng chỉ số bạn cũng cần phải thực hiện các công việc đăng ký tương tự như vậy. Nơi có thể chứng nhận
Authority viết tắt là CA), một tổ chức có thẩm quyền xác nhận chỉ danh và cấp các chứng chỉ số. Họ có thể là một thành phần thứ ba đứng độc lập hoặc các tổ chức tự vận hành phần mềm cấp chứng chỉ số của mình. Các phương pháp để xác định chỉ danh phụ thuộc vào các chính sách mà CA đặt ra. Chính sách lập ra phải đảm bảo việc cấp chứng chỉ số phải đúng đắn, ai được cấp và mục đích dùng vào việc gì. Thông thường, trước khi cấp một chứng chỉ số, CA sẽ công bố các thủ tục cần phải thực hiện cho các loại chứng chỉ số.
Trong chứng chỉ số chứa một khoá công khai được gắn với một tên duy nhất của một đối tượng (như tên của một nhân viên hoặc server). Chứng chỉ số giúp ngăn chặn việc sử dụng khoá công khai cho việc giả mạo. Chỉ có khoá công khai được chứng thực bởi chứng chỉ số mới làm việc với khoá riêng (private key) tương ứng được sở hữu bởi đối tượng mà có chỉ danh đã được chứng thực nằm trong chứng chỉ số.
Hình 2.9 Tạo chứng chỉ số
Ngoài khoá công khai, một chứng chỉ số còn chứa thêm tên của đối tượng mà nó nhận diện, hạn dùng, tên của CA cấp chứng chỉ số đó, mã số thứ tự, và những thông tin
chứng chỉ số đó. Nó cho phép chứng chỉ số như đã được đóng dấu để cho người sử dụng biết và tin cậy vào CA.
Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá công khai (public key).
Các thông tin trong chứng chỉ số bao gồm:
98. Nhận dạng của thực thể thông tin (tên user, địa chỉ
IP, địa chỉ email, URL, của website,…)
99. Khóa công khai của thực thể thông tin
100. Chữ ký số của “người” xác nhận
101. Một số thông tin phụ trợ khác
2.1.7.3. Cấu trúc chứng chỉ theo X.509
X.509 là một đề nghị của ITU (International Telecommunication Union) định nghĩa một framework về chứng thực (certificate). X.509 dựa trên X.500, mà bản thân X.500 còn chưa được định nghĩa hoàn hảo. Kết quả là chuẩn X.509 đang được diễn giải theo một số cách, tùy theo công ty cung cấp quyết định sử dụng như thế nào.
X.509 lần đầu tiên được công bố vào năm 1988, và các phiên bản tiếp theo đã được đưa ra để giải quyết các vấn đề an toàn, đây cũng là sự cố xảy ra bất ngờ ngay lần công bố đầu tiên. X.509 hỗ trợ cả hai mã bí mật (mã đơn) và mã công khai. X.509 định nghĩa các nội dung về một chứng thực, bao gồm số phiên bản, số serial, ID chữ ký, tên công bố, thời điểm có hiệu lực, định nghĩa chủ đề, phần mở rộng và chữ ký trên các trường trên.
Hình 2.10 Cấu trúc chứng chỉ số X.509
Về cơ bản, một người có trách nhiệm chứng nhận sẽ đặt khóa công khai của một người nào đó có nhu cầu chứng thực vào thủ tục chứng thực và sau đó xác thực lại bằng khóa riêng.
2.1.7.4. Cơ sở hạ tầng khóa công khai
Hệ thống bao gồm các thành phần cần thiết thực hiện các chức năng:
102. Tạo ra các chứng chỉ khóa công khai
103. Phân phối chứng chỉ
104. Thu hồi chứng chỉ
105. Quản lý các chứng chỉ (adsbygoogle = window.adsbygoogle || []).push({});
PKI là thành phần nền tảng để triển khai các ứng dụng bảo mật dựa trên khóa công khai.
2.1.7.5. Các thành phần của PKI
Hình 2.11 Các thành phần của PKI
106. End Entity: người sử dụng, một phần mềm hoặc thiết
bị tham gia vào quá trình trao đổi thông tin.
107. Certification Authority (CA): thực thể tin cậy trong
cộng đồng, có chức năng tạo ra chứng chỉ.
108. Registration Authority (RA): thực hiện các chức
năng xử lý hỗ trợ cho CA.
109. Repository: kho lưu trữ các chứng chỉ, cúng cấp
chứng chỉ cho user khi có yêu cầu.
110. CRL Issuer (Certificate Revocation List): thực thể
quản lý việc thu hồi chứng chỉ đã hết hạn hoặc vi phạm các vấn đề về bảo mật.
2.1.7.6. Chứng thực chéo
111. CA chứng thực cho End Entity.
112. CA cũng có thể chứng thực cho CA khác trong mô
113. Tính tin cậy (trust) của các CA cũng được thiết lập thông qua mô hình phân cấp.
Mô hình CA nhiều cấp:
Hình 2.12 Mô hình CA nhiều cấp
Hình 2.13 Chứng thực chéo
Ký hiệu: A<<X>>: A chứng nhận cho X