4. Những nội dung nghiên cứu chính
1.5.3 Quản lý khoá công khai trong mật mã bất đối xứng
Trong kỹ thuật mật mã bất đối xứng, khoá riêng của mỗi thực thể được chính thực thể đó quản lý mà không cần phải chia sẻ cho ai, tuy nhiên cơ chế nào được dùng để phổ biến khóa công khai một cách an toàn và hiệu quả?
Các cơ chế khác nhau có thể dùng để phổ biến khóa công khai bao gồm:
− Phổ biến công khai trên các diễn đàn công cộng: người sử dụng thực hiện việc này bằng cách gửi các thông báo kèm theo khóa công khai của mình đến các website hoặc diễn đàn công cộng trên mạng Internet. Phương pháp này đơn giản nhưng có nhược điểm là khóa dễ bị giả mạo. Một người A có thể đưa khóa công khai của mình lên mạng nhưng thông báo rằng đó là khóa của người B, bằng cách đó, A có thể đọc được những thông tin bí mật mà người khác gửi cho B.
− Sử dụng danh bạ khóa công khai (Public Key Directory): với danh bạ này, những người dùng nào muốn phổ biến khóa của mình thì phải đăng ký với nhà xuất bản và để tránh việc giả mạo, nhà xuất bản phải áp dụng một cơ chế kiểm duyệt an toàn nào đó đối với người đăng ký.
− Phương pháp này an toàn hơn cách mà mỗi cá nhân tự phổ biết khóa của mình. Tuy nhiên, nó cũng có khả năng bị giả mạo khi khóa bí mật của nhà xuất bản bị lộ, kẻ tấn công có thể thay đổi các thông tin mà người sử dụng đã đăng ký lên đó.
− Phương pháp sử dụng danh bạ công cộng có một điểm yếu khác đó là mọi người dùng muốn liên lạc với một người khác cần đến khoá công khai thì phải liên lạc với nhà xuất bản để được cung cấp, điều này đặt nhà xuất bản vào trạng thái có nguy cơ quá tải bất cứ lúc nào, hơn nữa đây chính là điểm thắt cổ chai của các giao dịch trên mạng.
Chứng thực khóa công khai (Public Key Certificate hay gọi tắt là Certificate hay chứng thực khóa) là một cơ chế phổ biến khóa công khai trong đó mỗi thực thể tự phổ biến khóa của mình bằng bất cứ phương tiện gì nhưng vẫn đảm bảo được tính xác thực của khóa.
Chứng thực khóa công khai là một tổ hợp gồm có khóa công khai của một thực thể, nhận dạng của thực thể đó và chữ ký số (digital signature) xác nhận của một thực thể thứ 3, thực thể thứ 3 này là một tổ chức được tintưởng trong cộng đồng (ví dụ như cơ quan nhà nước hoặc các tổ chức tài chính). Các đặc trưng của cơ chế này bao gồm:
• Mỗi thực thể đều có thể đọc các chứng thực khóa để biết được khóa công khai cũng như nhận diện chủ sở hữu của khóa đó.
• Mỗi thực thể đều có thể xác thực thông tin trong chứng thực khóa là chính xác nhờ vào chữ ký của một thực thể được tin cậy thứ 3.
• Chỉ có người chứng thực (Certificate Authority hay CA) mới có quyền tạo ra và cập nhật các chứng thực khóa.
Quá trình tạo ra và phân phối chứng thực khóa diễn ra như sau :
1) Để tạo chứng thực khóa, thực thể A gửi yêu cầu đến cơ quan chứng thực CA (Certificate Authority). Trong yêu cầu có chứa khoá công khai của A (PUA). Để tránh các tình huống giả mạo CA yêu cầu cung cấp chứng thực gửi từ các thực thể đầu cuối phải được gửi đến CA bằng một kênh bảo mật, trên đó có áp dụng các cơ chế xác thực chặt chẽ.
2) CA tạo ra chứng thực khóa cho A bằng cách mã hoá khối thông tin bao gồm: nhận dạng của thực thể A (IDA), khoá công khai của A (PUA) và thời điểm thực hiện việc cấp chứng thực, bằng khoá riêng của CA (PRCA).
Như vậy, thực thể A đã tạo được chứng thực khóa cho mình (CA). Tương tự như vậy, thực thể B cũng yêu cầu CA cung cấp chứng thực khóa cho nó(CB).
Để bắt đầu trao đổi thông tin với nhau sử dụng mật mã bất đối xứng, hai thực thể A và B trao đổi chứng thực khóa cho nhau để thực thể này nhận được khoá công khai của thực thể kia.
Với việc nhờ một thực thể tin cậy thứ 3 làm trung gian để tạo ra chứng thực khóa, khoá công khai có thể được phân phối một cách an toàn mà không bị giả mạo. Một trong những cơ chế được sử dụng rộng rãi để tạo ra các chứng thực khóa công khai là chuẩn X.509. Chuẩn này được dùng trong nhiều dịch vụ và giao thức bảo mật như IPSec, SSL, S/MIME, SET, …