Khuôn dạng chứng thư X.509

Một phần của tài liệu (LUẬN văn THẠC sĩ) phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ cryptosys (Trang 35 - 38)

Khuôn dạng chứng thư khóa công khai được chấp nhận rộng rãi nhất định nghĩa trong chuẩn X.509 của ISO/IF/ITU.

a)Khuôn dạng chứng thƣ cơ bản

Khuôn dạng chứng thư X.509 gồm có 3 phiên bản 1,2,3 được trình bày như sau:  Phiên bản (Version): Chỉ ra dạng phiên bản

 Số hiệu (serial number): Số hiệu nhận dạng duy nhất của chứng thư này. Nó được CA phát hành gán cho.

 Người phát hành (Issuer): Tên theo chuẩn X.509 của CA phát hành

 Thời gian hợp lệ (Validity): Ngày/giờ có hiệu lực và hết hạn của một chứng thư  Chủ thể ( Subject): Tên X.509 của đối tượng nắm giữ khóa bí mật (tương ứng với khóa công khai được chứng thực)

 Thông tin về khóa công khai của chủ thể (Subject Public key Information): gồm khóa công khai của chủ thể cùng với một tên thuật toán sử dụng khóa công khai này.

 Định danh duy nhất của người phát hành ( Issuer unique identifier): Là một chuỗi bít tùy chọn, được sử dụng để chỉ rõ ràng là của CA phát hành, trong trường hợp cùng một tên được gán cho các thực thể khác nhau trong cùng một thời gian.

 Định danh duy nhất của chủ thể (Subject unique identifier): Là một chuỗi bit tùy chọn, được sử dụng để chỉ ra rõ ràng của chủ thể, trong trường hợp cùng một tên được gán cho các thực thể khác nhau trong cùng thời gian.

Hình 2.2. Khuôn dạng chứng thư số phiên bản 1 và 2 dạng X.509

b)Khuôn dạng chứng thƣ X.509 mở rộng ( phiên bản 3)

Càng ngày các khuôn dạng chứng thư trong phiên bản 1,2 không đáp ứng được tất cả các yêu cầu. Dưới đây là các lý do bổ sung thêm thông tin :

 Giả thiết chủ thể của một chứng thư số bất kì có các chứng thư khác nhau với các khóa công khai khác nhau (các khóa này được sử dụng cho các mục đích khác nhau) và giả thiết rằng các cặp khóa cần được cập nhật định kỳ, do vậy cần phải có cách để phân biệt các chứng thư khác nhau của đối tượng này một cách dễ dàng.

Hình 2.3. Phần mở rộng của khuôn dạng chứng thư số trong phiên bản 3 dạng X.509

Mỗi trường mở rộng có một kiểu (cần được đăng ký). Giống với cách đăng ký một thuật toán, kiểu của trường mở rộng được đăng ký bằng cách gán cho nó một tên đối tượng. Về nguyên tắc, các kiểu của trường mở rộng được một người nào đó xác định. Trong thực tế, để làm được điều này, các kiểu của trường mở rộng thông thường phải được biết rộng rãi qua các thiết lập khác nhau, chính vì vậy các kiểu quan trọng của trường mở rộng phải được chuẩn hoá. Tuy nhiên, các cộng đồng quan tâm có thể xác định các kiểu của trường mở rộng để đáp ứng các nhu cầu riêng của họ.

Trong phiên bản 3, mỗi trường mở rộng chứa một giá trị tên đối tượng (gồm kiểu trường, một chỉ báo thiết yếu và một giá trị). Kiểu của mục dữ liệu trong trường con (ví dụ như chuỗi văn bản, ngày tháng hoặc cấu trúc dữ liệu phức tạp) ngữ nghĩa liên quan đến giá trị này do kiểu của trường mở rộng chi phối. Điều này có thể xảy ra như là kết quả của việc định nghĩa các chứng thư nhằm hỗ trợ cho các nhu cầu của nhiều ứng dụng, hoặc là kết quả của việc đưa ra các trường mở rộng mới thông qua việc di trú kỹ thuật.

Chỉ báo thiết yếu là một cờ, cờ này sẽ xuất hiện khi trường mở rộng là thiết yếu hoặc không thiết yếu. Nếu cờ chỉ báo là “không thiết yếu” thì một hệ thống sử dụng chứng thư được phép bỏ qua trường mở rộng nếu nó không chấp nhận kiểu của trường. Nếu cờ chỉ báo là “thiết yếu” thì một hệ thống sẽ không an toàn nếu sử dụng bất kỳ phần nào của chứng thư, trừ khi hệ thống nàychấp nhận kiểu của trường

Khái niệm “thiết yếu” thường xuyên bị hiểu sai. Một trường mở rộng có thể quan trọng với người sử dụng chứng thư nhưng không nhất thiết phải chỉ báo thiết yếu. Một hệ thống sử dụng chứng thư có thể yêu cầu các trường mở rộng nào đó xuất hiện trong một chứng thư hoặc thông tin nào đó phải có trong các trường của chứng thư trước khi chứng thư được chấp nhận. Một yêu cầu như vậy không liên quan đến tính thiết yếu, hệ thống sử dụng chứng thư có thể yêu cầu sự xuất hiện của các trường mở rộng không thiết yếu chẳng khác gì với yêu cầu sự xuất hiện của các trường mở rộng thiết yếu nào đó.Các trường mở rộng không thiết yếu giúp cho việc sử dụng các chứng thư thông qua các ứng dụng khác nhau trở nên dễ dàng hơn và giúp cho sự di trú trở nên đơn giản hơn thông qua việc bổ sung dần dần các kiểu mới cho trường mở rộng. Các trường mở rộng thiết yếu dẫn đến các vấn đề về khả năng liên hoạt động và cần phải tránh, trừ khi giải quyết các mối quan tâm về an toàn. Thông thường khi sử dụng, đa số các trường mở rộng được chỉ báo không thiết yếu.

c)Các trƣờng mở rộng chuẩn của chứng thƣ

Một tập hợp các trường mở rộng chuẩn (dành cho chứng thư phiên bản 3 của X.509) được một số tổ chức phát triển như sau:[8]

1. Thông tin về khóa và chính sách

2. Các thuộc tính của chủ thể và người phát hành 3. Các ràng buộc đối với đường dẫn chứng thực

4. Các trường mở rộng liên quan đến danh sách các chứng thư bị thu hồi (CRL) Các trường mở rộng nhóm (1) chuyển thêm các thông tin về các khoá của chủ thể và người phát hành.

2.4. Cài đặt và sử dụng thƣ viện CryptoSysPKI

Một phần của tài liệu (LUẬN văn THẠC sĩ) phát triển một hạ tầng khóa công khai cơ bản dựa trên bộ công cụ cryptosys (Trang 35 - 38)

Tải bản đầy đủ (PDF)

(69 trang)