Thực thể cuối trong PKI cú thể là con người, thiết bị, và thậm chớ là một chương trỡnh phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ thực hiện những chức năng mật mó (mó hoỏ, giải mó và ký số).
2.2.4 Hệ thống lưu trữ (Repositories)
Chứng chỉ (khoỏ cụng) và thụng tin thu hồi chứng chỉ phải được phõn phối sao cho những người cần đến chứng chỉ đều cú thể truy cập và lấy được. Cú 2 phương phỏp phõn phối chứng chỉ:
a. Phõn phối cỏ nhõn
Phõn phối cỏ nhõn là cỏch phõn phối cơ bản nhất. Trong phương phỏp này thỡ mỗi cỏ nhõn sẽ trực tiếp đưa chứng chỉ của họ cho người dựng khỏc. Việc này cú thể thực hiện theo một số cơ chế khỏc nhau. Chuyển giao bằng tay chứng chỉ được lưu trong đĩa mềm hay trong một số cỏc mụi trường lưu trữ khỏc. Cũng cú thể phõn phối bằng cỏch gắn chứng chỉ trong e-mail để gửi cho người khỏc.
Cỏch này thực hiện tốt trong một nhúm ớt người dựng nhưng khi số lượng người dựng tăng lờn thỡ cú thể xảy ra vấn đề về quản lý.
b. Phõn phối cụng khai
Một phương phỏp khỏc phổ biến hơn để phõn phối chứng chỉ (và thụng tin thu hồi chứng chỉ) là cụng bố cỏc chứng chỉ rộng rói, cỏc chứng chỉ này cú thể sử dụng một cỏch cụng khai và được đặt ở vị trớ cú thể truy cập dễ dàng. Những vị trớ này được gọi là cơ sở dữ liệu. Dưới đõy là vớ dụ về một số hệ thống lưu trữ:
- X.500 Directory System Agents (DSAs)
- Lightweight Directory Access Protocol (LDAP ) Server
- Online Certificate Status Protocol (OCSP) Responders
- Domain name System (DNS) và Web servers
2.3 Chức năng cơ bản của PKI
Những hệ thống cho phộp PKI cú những chức năng khỏc nhau. Nhưng nhỡn chung cú hai chức năng chớnh là: chứng thực và thẩm tra.
2.3.1 Chứng thực (certification)
Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đõy là quỏ trỡnh ràng buộc khoỏ cụng khai với định danh của thực thể. CA là thực thể PKI thực hiện chức năng chứng thực. Cú hai phương phỏp chứng thực:
- Tổ chức chứng thực (CA) tạo ra cặp khoỏ cụng khai / khoỏ bớ mật và tạo ra chứng chỉ cho phần khoỏ cụng của cặp khoỏ.
- Người sử dụng tự tạo cặp khoỏ và đưa khoỏ cụng cho CA để CA tạo chứng chỉ cho khoỏ cụng đú. Chứng chỉ đảm bảo tớnh toàn vẹn của khoỏ cụng khai và cỏc thụng tin gắn cựng.
2.3.2 Thẩm tra (validation)
Quỏ trỡnh xỏc định liệu chứng chỉ đó đưa ra cú thể được sử dụng đỳng mục đớch thớch hợp hay khụng được xem như là quỏ trỡnh kiểm tra tớnh hiệu lực của chứng chỉ. Quỏ trỡnh này bao gồm một số bước sau:
- Kiểm tra xem liệu cú đỳng là CA được tin tưởng đó ký số lờn chứng chỉ hay khụng (xử lý theo đường dẫn chứng chỉ).
- Kiểm tra chữ ký số của CA trờn chứng chỉ để kiểm tra tớnh toàn vẹn.
- Xỏc định xem chứng chỉ cũn ở trong thời gian cú hiệu lực hay khụng.
- Xỏc định xem chứng chỉ đó bị thu hồi hay chưa.
- Xỏc định xem chứng chỉ đang được sử dụng cú đỳng mục đớch, chớnh sỏch, giới hạn hay khụng (bằng cỏch kiểm tra những trường mở rộng cụ thể như mở rộng chớnh sỏch chứng chỉ hay mở rộng việc sử dụng khoỏ).
2.3.3 Một số chức năng khỏc
Hệ thống PKI thực hiện chức năng chứng thực, thẩm tra cựng với một số chức năng phụ trợ khỏc. Dưới đõy là một số chức năng và dịch vụ được hầu hết cỏc
hệ thống PKI cung cấp. Một số những chức năng khỏc cú thể được định nghĩa tuỳ theo yờu cầu cụ thể của cỏc hệ thống PKI.
a. Đăng ký
Đăng ký là quỏ trỡnh đến hoặc liờn lạc với cỏc tổ chức, trung tõm tin cậy để đăng ký cỏc thụng tin và xin cấp chứng chỉ. RA và CA là những thực thể trong quỏ trỡnh đăng ký. Quỏ trỡnh đăng ký phụ thuộc vào chớnh sỏch của tổ chức. Nếu chứng chỉ được cung cấp với mục đớch dựng cho những hoạt động bớ mật thỡ sử dụng phương phỏp gặp mặt trực tiếp. Nếu chứng chỉ chỉ được sử dụng cho những mục đớch, hoạt động thường thỡ cú thể đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử.
b. Khởi tạo ban đầu
Khi hệ thống trạm của chủ thể nhận được cỏc thụng tin cần thiết để liờn lạc với CA thỡ quỏ trỡnh khởi tạo bắt đầu. Những thụng tin này cú thể là khoỏ cụng của CA, chứng chỉ của CA, cặp khúa cụng /bớ mật của chủ thể.
Một số hệ thống khỏc sử dụng cơ chế dựa trờn password trong giai đoạn khởi tạo. Người dựng cuối liờn lạc với CA khi nhận được password và sau đú thiết lập một kờnh bảo mật để truyền những thụng tin cần thiết. Giai đoạn khởi tạo thường tiếp tục với quỏ trỡnh chứng thực.
c. Khụi phục cặp khoỏ
Hầu hết hệ thống PKI tạo ra hai cặp khoỏ cho người sử dụng cuối, một để ký số và một để mó hoỏ. Lý do để tạo hai cặp khoỏ khỏc nhau xuất phỏt từ yờu cầu khụi phục và sao lưu dự phũng khoỏ.
Tuỳ theo chớnh sỏch của tổ chức, bộ khoỏ mó (mó và giải mó) và những thụng tin liờn quan đến khoỏ của người sử dụng phải được sao lưu để cú thể lấy lại được dữ liệu khi người sử dụng mất khoỏ riờng hay rời khỏi đơn vị.
Cũn khoỏ để ký số được sử dụng tuỳ theo mục đớch cỏ nhõn nờn khụng được sao lưu. Riờng khoỏ bớ mật của CA thỡ được lưu giữ dự phũng trong một thời gian dài để giải quyết những vấn đề nhầm lẫn cú thể xảy ra trong tương lai. Hệ thống PKI cú những cụng cụ để thực hiện chức năng sao lưu và khụi phục khoỏ.
d. Tạo khoỏ
Cặp khoỏ cụng khai/bớ mật cú thể được tạo ở nhiều nơi. Chỳng cú thể được tạo ra bằng phần mềm phớa client và được gửi đến CA để chứng thực.
CA cũng cú thể tạo ra cặp khoỏ trước khi chứng thực. Trong trường hợp này, CA tự tạo cặp khoỏ và gửi khoỏ bớ mật này cho người sử dụng theo một cỏch an toàn. Nếu khoỏ do bờn thứ ba tạo ra thỡ những khoỏ này phải được CA tin cậy trong miền xỏc nhận trước khi sử dụng.
e. Hạn sử dụng và cập nhật khoỏ
Một trong những thuộc tớnh của chứng chỉ là thời gian hiệu lực. Thời gian hiệu lực của mỗi cặp khoỏ được xỏc định theo chớnh sỏch sử dụng. Cỏc cặp khoỏ của người sử dụng nờn được cập nhật khi cú thụng bỏo về ngày hết hạn. Hệ thống sẽ thụng bỏo về tỡnh huống này trong một thời gian nhất định. Chứng chỉ mới sẽ được người cấp cụng bố tự động sau thời gian hết hạn.
f. Xõm hại khoỏ
Đõy là trường hợp khụng bỡnh thường nhưng nếu xảy ra thỡ khoỏ mới sẽ được cụng bố và tất cả người sử dụng trong hệ thống sẽ nhận thấy điều này. Xõm hại đến khoỏ của CA là một trường hợp đặc biệt. Và trong trường hợp này thỡ CA sẽ cụng bố lại tất cả cỏc chứng chỉ với CA-certificate mới của mỡnh
g. Thu hồi
Chứng chỉ được cụng bố sẽ được sử dụng trong khoảng thời gian cú hiệu lực. Nhưng trong trường hợp khoỏ bị xõm hại hay cú sự thay đổi trong thụng tin của chứng chỉ thỡ chứng chỉ mới sẽ được cụng bố, chứng chỉ cũ sẽ bị thu hồi.
h. Cụng bố và gửi thụng bỏo thu hồi chứng chỉ
Một chứng chỉ được cấp cho người sử dụng cuối sẽ được gửi đến cho người nắm giữ và hệ thống lưu trữ để cú thể truy cập cụng khai. Khi một chứng chỉ bị thu hồi vỡ một lý do nào đú, tất cả người sử dụng trong hệ thống sẽ được thụng bỏo về việc này. Phương thức để cụng bố và gửi những thụng bỏo thu hồi đó được đề cập chi tiết trong nội dung về chứng chỉ số ở phần trờn.
i. Xỏc thực chộo
Xỏc thực chộo là một trong những đặc tớnh quan trọng nhất của hệ thống PKI. Chức năng này được sử dụng để nối hai miền PKI khỏc nhau. Xỏc thực chộo là cỏch để thiết lập mụi trường tin cậy giữa hai CA dưới những điều kiện nhất định. Những điều kiện này được xỏc định theo yờu cầu của người sử dụng. Những người sử dụng ở cỏc miền khỏc nhau chỉ cú thể giao tiếp an toàn với người khỏc sau khi việc xỏc thực chộo giữa cỏc CA thành cụng.
Xỏc thực chộo được thiết lập bằng cỏch tạo chứng chỉ CA xỏc thực lẫn nhau. Nếu CA-1 và CA-2 muốn thiết lập xỏc thực chộo thỡ cần thực hiện một số bước sau:
- CA-1 cụng bố CA – certificate cho CA-2.
- CA-2 cụng bố CA – certificate cho CA-1.
- CA-1 và CA-2 sẽ sử dụng những trường mở rộng xỏc định trong chứng chỉ để đặt những giới hạn cần thiết trong CA-certificate.
Việc xỏc thực chộo đũi hỏi phải cú sự kiểm tra cẩn thận cỏc chớnh sỏch PKI. Nếu cả hai đều cú cựng hoặc tương tự chớnh sỏch của nhau thỡ việc xỏc thực chộo sẽ cú ý nghĩa. Ngược lại, sẽ cú những tỡnh huống khụng mong muốn xuất hiện trong trường hợp chớnh sỏch PKI của một miền trở thành một phần của miền khỏc.
Trường mở rộng “Policy mapping”, “name constraints” và “policy constraints” của chứng chỉ X.509 chuẩn được sử dụng trong xỏc thực chộo để đưa ra một số giới hạn trong mụi trường tin cậy.
Hỡnh 2.7 dưới đõy minh hoạ đường dẫn cấp chứng chỉ được xõy dựng giữa 2 CA (2 CA này đó thiết lập mối quan hệ tin cậy sử dụng xỏc thực chộo ngang hàng). Mụ hỡnh chỉ ra chứng chỉ chộo được cấp giữa mỗi CA và chứng chỉ thực thể cuối được CA cấp. Người cấp của một chứng chỉ là chủ thể của chứng chỉ khỏc. Khoỏ cụng khai được xỏc nhận trong một chứng chỉ tương ứng với khoỏ riờng được sử dụng để ký chứng chỉ khỏc.
Hỡnh 2.7: Đường dẫn chứng chỉ chộo 2.4 Mụ hỡnh tin cậy cho PKI
X.509 định nghĩa sự tin cậy như sau: “Một thực thể cú thể được núi là tin cậy với một thực thể thứ hai nếu nú (thực thể đầu tiờn ) tạo ra sự đảm bảo rằng thực thể thứ hai sẽ thực hiện chớnh xỏc như thực thể thứ nhất mong đợi” [9].
Định nghĩa này cú thể được diễn đạt lại về mặt PKI như sau: một thực thể cuối tin cậy một CA khi thực thể cuối cho rằng CA sẽ thiết lập và duy trỡ sự gắn kết cỏc thuộc tớnh của khoỏ cụng một cỏch chớnh xỏc.
Alice’s public/private keys Issuer Engineering Eng user public key Subject Alice Engineering CA Bob’s public/private keys Issuer Marketing CA Mktg user public key Subject Bob Marketing CA signature Issuer Marketing CA Engineering CA public keys Subject Engineering CA Marketing CA signature Issuer Engineering CA Marketing CA public keys Subject Marketing CA Engineering CA signature Engineering CA public/private keys Marketing CA public/private keys
Cú một số mụ hỡnh tin cậy cú thể được ỏp dụng hoặc được đề xuất để sử dụng trong hạ tầng mó khoỏ cụng khai - PKI dựa trờn X.509:
- Single CA Model (mụ hỡnh CA đơn )
- Hierarchical Model (Mụ hỡnh phõn cấp )
- Mesh Model (Mụ hỡnh mắt lưới – mụ hỡnh xỏc thực chộo)
- Hub and Spoke (Bridge CA) Model (Mụ hỡnh cầu CA)
- Web Model (Trust Lists) (Mụ hỡnh web)
- User Centric Model (Mụ hỡnh người sử dụng trung tõm )
2.4.1 Mụ hỡnh CA đơn
Đõy là mụ hỡnh tổ chức CA cơ bản và đơn giản nhất. Trong mụ hỡnh CA đơn chỉ cú một CA xỏc nhận tất cả cỏc thực thể cuối trong miền PKI. Mỗi người sử dụng trong miền nhận khoỏ cụng khai của CA gốc (root CA) theo một số cơ chế nào đú. Trong mụ hỡnh này khụng cú yờu cầu xỏc thực chộo. Chỉ cú một điểm để tất cả người sử dụng cú thể kiểm tra trạng thỏi thu hồi của chứng chỉ đó được cấp. Mụ hỡnh này cú thể được mở rộng bằng cỏch cú thờm cỏc RA ở xa CA nhưng ở gần cỏc nhúm người dựng cụ thể.
Mụ hỡnh này được minh hoạ trong hỡnh 2.8.
Hỡnh 2.8: Mụ hỡnh CA đơn Root CA RA EE EE EE EE EE EE EE EE EE RA
Mụ hỡnh này dễ để triển khai và giảm tối thiểu được những vấn đề về khả năng tương tỏc. Nhưng mụ hỡnh này cú một số nhược điểm sau:
- Khụng thớch hợp cho miền PKI lớn vỡ một số người sử dụng ở những miền con cú những yờu cầu khỏc nhau đối với người ở miền khỏc.
- Cú thể khụng cú tổ chức nào tỡnh nguyện vận hành CA đơn hoặc một số tổ chức lại cú thể khụng tin tưởng vào những người vận hành CA này vỡ một vài lý do nào đú.
- Việc quản trị và khối lượng cụng việc kỹ thuật của việc vận hành CA đơn sẽ rất cao trong cộng đồng PKI lớn.
- Chỉ cú một CA sẽ gõy ra thiếu khả năng hoạt động và CA này cú thể trở thành mục tiờu tấn cụng.
2.4.2 Mụ hỡnh phõn cấp
Mụ hỡnh này tương ứng với cấu trỳc phõn cấp với CA gốc và cỏc CA cấp dưới. CA gốc xỏc nhận cỏc CA cấp dưới, cỏc CA này lại xỏc nhận cỏc CA cấp thấp hơn. Cỏc CA cấp dưới khụng cần xỏc nhận cỏc CA cấp trờn. Hỡnh 2.9: Mụ hỡnh phõn cấp CA EE EE CA EE EE EE EE EE EE EE EE EE
EE: End Entity
CA
CA CA
CA CA
Root CA
Mụ hỡnh phõn cấp được minh hoạ như Hỡnh 2.9 ở trờn.
Trong mụ hỡnh này, mỗi thực thể sẽ giữ bản sao khoỏ cụng khai của root CA và kiểm tra đường dẫn của chứng chỉ bắt đầu từ chữ ký của CA gốc. Đõy là mụ hỡnh PKI tin cậy sớm nhất và được sử dụng trong PEM.
* Ưu điểm của mụ hỡnh:
- Mụ hỡnh này cú thể dựng được trực tiếp cho những doanh nghiệp phõn cấp và độc lập, cũng như những tổ chức chớnh phủ và quõn đội.
- Cho phộp thực thi chớnh sỏch và chuẩn thụng qua hạ tầng cơ sở. - Dễ vận hành giữa cỏc tổ chức khỏc nhau.
* Nhược điểm:
- Cú thể khụng thớch hợp đối với mụi trường mà mỗi miền khỏc nhau cần cú chớnh sỏch và giải phỏp PKI khỏc nhau.
- Cỏc tổ chức cú thể khụng tự nguyện tin vào cỏc tổ chức khỏc.
- Cú thể khụng thớch hợp cho những mối quan hệ ngang hàng giữa chớnh phủ và doanh nghiệp.
- Những tổ chức thiết lập CA trước cú thể khụng muốn trở thành một phần của mụ hỡnh.
- Cú thể gõy ra sự trội hơn của sản phẩm đối với vấn đề về khả năng tương tỏc. - Chỉ cú một CA gốc nờn cú thể gõy ra một số vấn đề như thiếu khả năng hoạt động. Thờm vào đú, trong trường hợp khoỏ bớ mật của CA bị xõm phạm, khoỏ cụng khai mới của CA gốc phải được phõn phối đến tất cả cỏc người sử dụng cuối trong hệ thống theo một số cơ chế khỏc nhau.
Mặc dự cú những nhược điểm, song mụ hỡnh này vẫn thớch hợp với yờu cầu của cỏc tổ chức chớnh phủ vỡ cấu trỳc phõn cấp tự nhiờn sẵn cú.
2.4.3 Mụ hỡnh mắt lưới (xỏc thực chộo)
Mụ hỡnh mắt lưới là mụ hỡnh đưa ra sự tin tưởng giữa hai hoặc nhiều CA. Mỗi CA cú thể ở trong mụ hỡnh phõn cấp hoặc trong mụ hỡnh mắt lưới khỏc. Trong mụ hỡnh này khụng chỉ cú một CA gốc mà cú nhiều hơn một CA gốc phõn phối sự tin cậy giữa cỏc CA với nhau. Thụng qua việc xỏc thực chộo giữa cỏc CA gốc, cỏc
CA cú thể tin tưởng lẫn nhau. Xỏc thực chộo liờn kết cỏc miền khỏc nhau bằng việc sử dụng thuộc tớnh BasicConstraints, Name Constraints, PolicyMapping và PolicyConstraints của X.509 v3 mở rộng.
Trong cấu hỡnh mắt lưới đầy đủ, tất cả cỏc CA gốc xỏc nhận chộo lẫn nhau. Điều này yờu cầu n2 lần xỏc thực trong hạ tầng cơ sở. Hỡnh 2.10 là minh hoạ biểu diễn bằng đồ thị mụ hỡnh này.
Hỡnh 2.10: Mụ hỡnh mắt lưới
*Ưu điểm của mụ hỡnh:
- Linh hoạt hơn và phự hợp với nhu cầu giao dịch hiện nay.
- Cho phộp những nhúm người sử dụng khỏc nhau cú thể tự do phỏt triển và thực thi những chớnh sỏch và chuẩn khỏc nhau.
- Cho phộp cạnh tranh.
- Khụng phải là mụ hỡnh phõn cấp và khắc phục được những nhược điểm của