" Nội dung của chương 10 trình bày các vấn đề về chứng nhận khĩa cơng cộng, bao gồm các loại giấy chứng nhận khĩa cơng cộng, các thành phần của một cơ sở hạ
tầng khĩa cơng cộng (PKI), các quy trình quản lý giấy chứng nhận và các mơ hình chứng nhận khĩa cơng cộng. Phần cuối chương này trình bày ứng dụng kết hợp giữa hệ thống mã hĩa quy ước và hệ thống mã hĩa khĩa cơng cộng cĩ sử dụng chứng nhận khĩa cơng cộng để xây dựng hệ thống thưđiện tử an tồn.
10.1 Giới thiệu
Khơng giống như các mã khĩa bí mật, mã khĩa cơng cộng vẫn cĩ thể đảm bảo được an tồn thơng tin ngay cả khi được cơng bố rộng rãi. Điều này giúp cho vấn đề trao đổi mã khĩa trở nên dễ dàng hơn. Tuy nhiên, vẫn cịn tồn tại một số vấn đề liên quan đến việc trao đổi mã khĩa cơng cộng, đặc biệt là vấn đề làm thế nào xác định được ai thật sự là chủ của một mã khĩa.
việc sử dụng khĩa cơng cộng mà khơng thể xác định chính xác được người chủ của mã khĩa.
Ví dụ: Giả sử C cĩ thể nhận được tất cả thơng tin trao đổi giữa A và B. Khi B gửi mã khĩa cơng cộng xxxx của mình cho A, C sẽ nhận lấy thơng điệp này và gửi cho A mã khĩa cơng cộng yyyy của mình. Như vậy, A sẽ cho rằng yyyy chính là khĩa cơng cộng của B và dùng mã khĩa này để mã hĩa thư gửi cho B. Lúc này, C lại giải mã bức thư của A và mã hĩa một thơng điệp khác bằng khĩa cơng cộng xxxx của B rồi gửi cho B. Như vậy, B sẽ nhận được một thơng điệp từ C thay vì từ A.
A
BC C
Gửi khóa công khai của B:xxxx
Gửi khóa công khai của C:yyyy
Gửi thư sử dụng khóa yyyy
Gửi thư sử dụng khóa xxxx
Hình 10.1. Vấn đề chủ sở hữu khĩa cơng cộng
Trên thực tế, vấn đề này được giải quyết theo hai cách:
o Chứng nhận khĩa cơng cộng: Khĩa cơng cộng được phân phối gồm ba thành phần chính: họ tên hoặc định danh của người sở hữu thật sự của khĩa,
khĩa cơng cộng và chữ ký điện tử giúp xác nhận được tính hợp lệ của hai thành phần này (Hình 10.2).
o Hệ thống phân phối khĩa tin cậy: sử dụng hệ thống trao đổi thơng tin đáng tin cậy để chuyển mã khĩa cơng cộng đến người nhận. Quá trình trao đổi này dễ dàng hơn so với quá trình trao đổi mã khĩa bí mật vì ở đây khơng đặt ra vấn đề bảo mật mà chỉ cần đảm bảo được nội dung chính xác của mã khĩa cần trao đổi. Giải pháp này thường áp dụng đối với khĩa cơng cộng sẽ được cùng để kiểm tra chữ ký điện tử trên chứng nhận của các khĩa cơng cộng khác.
Các chứng nhận khĩa cơng cộng được ký bởi một tổ chức trung gian cĩ uy tín được gọi là CA (Certification Authority). Khĩa cơng cộng của CA sẽ được cung cấp cho người sử dụng thơng qua hệ thống phân phối khĩa tin cậy để họ cĩ thể kiểm tra được các chứng nhận khĩa cơng cộng khác do tổ chức này ký.
Họ tên Khóa công khai Chữ ký điện tử
Chứng nhận khóa công khai Public Key Certificate
Hình 10.2. Các thành phần của một chứng nhận khĩa cơng cộng
Hình 10.3 minh họa hệ thống sử dụng chứng nhận khĩa cơng cộng. Giả sử A cần cĩ khĩa cơng cộng của B. Khi đĩ, A sẽ nhận xác nhận khĩa cơng cộng của B từ CA
cơng cộng của B hay khơng. A sẽ dễ dàng phát hiện được xác nhận khĩa cơng cộng giả của B do C tạo ra nhờ vào khĩa cơng cộng của CA.
Mã hĩa khĩa cơng cộng cĩ thể gặp phải vấn đề trong việc phân phối khĩa nhưng vấn đề này khơng nghiêm trọng như trong việc phân phối khĩa của mã hĩa đối xứng. Sự chứng thực của khĩa cơng cộng cĩ thể được thực hiện bởi một tổ chức trung gian thứ ba đáng tin cậy. Sự bảo đảm về tính xác thực của người sở hữu khĩa cơng cộng được gọi là sự chứng nhận khĩa cơng cộng. Người hay tổ chức chứng nhận khĩa cơng cộng được gọi là tổ chức chứng nhận (CA – Certification Authority).
Khóa công khai của CA
CA
Tên và khóa công khai của B
B
A
C
Chứng nhận khóa công khai của B do CA ký (adsbygoogle = window.adsbygoogle || []).push({});
CA Server
Chứng nhận khóa công khai của B do CA ký
Chứng nhận giả khóa công khai của B do C ký Hệ thống phân phối đáng tin cậy