PKI là một thuật ngữ dựng để mụ tả một tổ chức hoàn thiện của cỏc hệ thống, quy tắc để xỏc định một hệ thống an ninh. Nhúm đặc trỏch kỹ thuật Internet (IEFT) X.509 định nghĩa PKI như sau: “PKI là một tập bao gồm phần cứng, phần mềm, con người và cỏc thủ tục cần thiết để tạo lập, quản lý, lưu trữ và hủy cỏc chứng nhận số
dựa trờn mật mó khúa cụng khai”. PKI gồm:
+ Thẩm quyền chứng nhận (CA): cú nhiệm vụ phỏt hành và hủy cỏc chứng chỉ số;
+ Thẩm quyền đăng ký: cú nhiệm vụ ràng buộc khúa cụng khai với cỏc nhận dạng của cỏc sở hữu khúa;
+ Cỏc sở hữu khúa: là những người sử dụng được cấp chứng nhận số và sử dụng cỏc chứng chỉ số này để kớ cỏc tài liệu số;
+ Kho lưu cỏc chứng nhận số và danh sỏch hủy chứng nhận;
+ Chớnh sỏch an ninh: quy định hướng dẫn mức cao nhất của tổ chức về an ninh. PKI là một khỏi niệm an ninh quan trọng, cỏc khúa cụng khai được sử dụng để
kiểm tra cỏc chữ ký số (chứng chỉ số) trong kết nối mạng số liệu. Bản thõn nú khụng mang bất cứ thụng tin gỡ về thực thể cung cấp cỏc chữ ký. Cụng nghệ nối mạng số liệu thừa nhận vấn đề này và tiếp nhận cỏc chứng nhận an ninh, để ràng buộc khúa cụng khai và nhận dạng thực thể phỏt hành khúa. Thực thể phỏt hành khúa lại được kiểm tra bằng cỏch sử dụng một khúa cụng khai được tin tưởng đó biết, bằng cỏch sử dụng một chứng nhận được phỏt đi từ CA ở phõn cấp cao hơn. Cỏc chứng nhận được phỏt hành và thi hành bởi một thẩm quyền chứng nhận (CA). CA này được phộp cung cấp cỏc
dịch vụ cho cỏc thực thểđược nhận dạng hợp lệ, khi chỳng yờu cầu. Để thực hiện được cỏc chức năng đú cỏc CA phải được tin tưởng bởi cỏc thực thể (cỏc thành viờn của PKI) dựa trờn cỏc dịch vụ mà nú cung cấp.
Tất cả cỏc chứng nhận được ký bởi một khúa riờng của CA, người sử dụng chứng nhận cú thể xem, kiểm tra thụng tin của chứng nhận đú cú hợp lệ hay khụng? Bằng cỏch giải mật mó chữ ký bằng một khúa kiểm tra cụng khai, cú thể kiểm tra, xem nú cú phự hợp với MD của nội dung nhận được trong chứng nhận hay khụng? Chữ ký thường là một MD được mật mó húa.
Cỏc thành viờn PKI cú thể thỏa thận thời gian hiệu lực tiờu chuẩn cho một chứng nhận. Vỡ thế, cú thể xỏc định khi nào một chứng nhận bị hết hạn. Mặt khỏc thẩm quyền chứng nhận (CA) cú thể cụng bố một danh sỏch hủy chứng nhận (CRL) để cỏc thành viờn PKI biết chứng nhận khụng cũn hợp lệ với CA nữa.
Cỏc quan hệ tin tưởng giữa CA và cỏc thành viờn PKI khỏc phải được thiết lập trước khi diễn ra giao dịch PKI. Cỏc quan hệ này thường nằm ngoài phạm vi PKI và vỡ thế cũng nằm ngoài phạm vi cụng nghệ nối mạng. Cỏc quan hệ tin tưởng PKI cú thể được thiết lập trờn cơ sở địa lý, chớnh trị, xó hội, dõn tộc và cú thể mở rộng cho cỏc nền cụng nghiệp, cỏc nước, cỏc nhúm dõn cư hay cỏc thực thể khỏc được ràng buộc bởi cỏc mối quan tõm chung. Về mặt lý thuyết thỡ cỏc mụ hỡnh tin tưởng PKI cú thể
dựa trờn một CA duy nhất, được sử dụng để tạo lập PKI trờn toàn cầu giống như
Internet hay một phõn cấp phõn bố cỏc CA.
Quỏ trỡnh trao đổi bớ mật (khúa chia sẻ phiờn hay thụng tin để tạo ra khúa này) giữa hai phớa A và B được minh họa ở hỡnh 2.3.
Hỡnh 2.3 Nhận thực bằng chữ ký điện tử
Người ký A nhận được khúa cụng khai từ chứng nhận B. Vỡ chứng nhận B
được ký bởi khúa riờng của thẩm quyền chứng nhận bờn B, nờn nú cú thểđược kiểm tra tại thẩm quyền chứng nhận bờn B bằng khúa cụng khai mà B nhận được từ thẩm quyền chứng nhận của mỡnh. Đồng thời chứng nhận CA của B lại được kiểm tra bằng khúa cụng khai nhận được từ CA gốc và khúa này được đảm bảo là hợp lệ. Vỡ nú đó
được chuyển thành mó của PKI Client trong modem phần mềm của A. Sau khi đó cú
được khúa cụng khai của B, A mật mó húa bớ mật bằng cỏch sử dụng khúa này. Và sau
đú bản tin được mật mó này được gửi đến B cựng với chứng nhận CA của A và túm tắt bản tin MD của bớ mật được mật mó húa, được tớnh toỏn theo khúa riờng của A. Khi nhận được bản tin này, B kiểm tra như sau: trước hết B giải mật mó húa bản tin bằng khúa riờng của mỡnh, tớnh toàn MD từ kết quả nhận được, sử dụng khúa cụng khai của A để giải mật mó MD nhận được từ A, rồi sau đú so sỏnh MD’ với MD. Nếu bằng thỡ nhận thực thành cụng và bớ mật nhận được sau khi giải mật mó là bớ mật cần truyền.
Chứng nhận cú thểđược gửi đi ở cỏc khuụn dạng khỏc nhau, tiờu chuẩn an ninh
được tiếp nhận rộng rói là X.509 do ITU định nghĩa. Cỏc thực thể cụng cộng và riờng dựa trờn cỏc dịch vụ tin tưởng do một CA chung cung cấp và tiếp nhận do CA cung cấp. Do vậy, cỏc thành viờn của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viờn của PKI với CA chứ khụng phải với cỏc thành viờn khỏc. Vỡ thế cú thể
định nghĩa PKI ngắn gọn như sau: “PKI như một thực thể ảo kết hợp nhiều thực thể
vật lý bởi một tập cỏc chớnh sỏch và cỏc quy tắc ràng buộc cỏc khúa chung với cỏc nhận dạng của cỏc thực thể phỏt hành khúa, thụng qua việc sử dụng một thẩm quyền chứng nhận CA”.
PKI gồm ba chức năng chớnh:
+ Chứng nhận: Chứng nhận hay ràng buộc một khúa với một nhận dạng bằng một chữ ký được thực hiện bởi một thẩm quyền chứng nhận CA. Quỏ trỡnh chứng nhận bao gồm việc tạo ra một cặp khúa gồm khúa cụng khai và khúa riờng, do người sử dụng tạo ra và tớnh toỏn cho CA trong một phần của yờu cầu hay do CA thay mặt người sử
dụng tạo ra.
+ Cụng nhận hợp lệ: Cụng nhận cú hợp lệ hay chuyờn mụn hơn là kiểm tra nhận thực chứng nhận được thực hiện bởi một thực thể PKI bất kỳ. Quỏ trỡnh cụng nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phỏt hành, đối chiếu với danh sỏch hủy chứng nhận (CRL) và khúa cụng khai của CA.
+ Hủy: hủy một chứng nhận hiện cú, trước khi nú hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật thụng tin mới cho CRL. Trong một kịch bản điển hỡnh, khi người sử dụng cần nhận hay cụng nhận một chứng nhận được trỡnh bày hợp lệ, nú sẽ gửi yờu cầu này đến CA. Sau khi chứng nhận được yờu cầu
được phỏt đi hay tớnh hợp lệ của nú được kiểm tra, thụng tin tương ứng được CA gửi vào một kho chứng nhận, trong đú cú cả CRL.