Chứng chỉ số (digital certificates)

Một phần của tài liệu Luân văn: Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai potx (Trang 26 - 39)

2.1.1 Giới thiệu

Nhưđó núi đến ở trờn, mật mó khoỏ cụng khai sử dụng hai khoỏ khỏc nhau (khoỏ cụng và khoỏ riờng) đểđảm bảo yờu cầu “bớ mật, xỏc thực, toàn vẹn và chống chối bỏ ” của những dịch vụ an toàn. Một đặc tớnh quan trọng khỏc của lược đồ

khoỏ cụng khai là phần khoỏ cụng khai được phõn phối một cỏch tự do. Ngoài ra, trong hạ tầng mó khoỏ cụng khai thỡ khoỏ cụng ngoài việc phải luụn sẵn cú để mọi người trong hệ thống cú thể sử dụng cũn phải được đảm bảo về tớnh toàn vẹn. Khoỏ cụng được đặt ở vị trớ cụng khai trong một định dạng đặc biệt. Định dạng này được gọi là chứng chỉ. Chứng chỉ (thực ra là chứng chỉ khoỏ cụng – public key certificate (PKC)) là sự gắn kết giữa khoỏ cụng của thực thể và một hoặc nhiều thuộc tớnh liờn quan đến thực thể [8]. Thực thể cú thể là người, thiết bị phần cứng như mỏy tớnh, router hay một phần mềm xử lý. Một chứng chỉ khoỏ cụng (PKC)

kết giữa khoỏ cụng, thực thể sở hữu khoỏ cụng này và tập cỏc thuộc tớnh khỏc được viết trong chứng chỉ.

PKC cũn được gọi là “digital certificate”- chứng chỉ số, “digital ID”, hay đơn giản là chứng chỉ.

Hỡnh 2.1 minh hoạ một chứng chỉ số do hệ thống MyCA cấp.

Hỡnh 2.1: Chứng chỉ số

Chứng chỉ chứa những thụng tin cần thiết như khúa cụng khai, chủ thể

(người sở hữu) khoỏ cụng, người cấp và một số thụng tin khỏc. Tớnh hợp lệ của cỏc thụng tin được đảm bảo bằng chữ ký số của người cấp chứng chỉ. Người nào muốn sử dụng chứng chỉ trước hết sẽ kiểm tra chữ ký số trong chứng chỉ. Nếu đú là chữ

ký hợp lệ thỡ sau đú cú thể sử dụng chứng chỉ theo mục đớch mong muốn. Cú nhiều loại chứng chỉ, một trong sốđú là:

- Chứng chỉ khoỏ cụng X.509

- Chứng chỉ khoỏ cụng đơn giản (Simple Public Key Certificates - SPKC)

- Chứng chỉ thuộc tớnh (Attribute Certificates - AC)

Tất cả cỏc loại chứng chỉ này đều cú cấu trỳc định dạng riờng. Hiện nay chứng chỉ khoỏ cụng khai X.509 được sử dụng phổ biến trong hầu hết cỏc hệ thống PKI. Hệ thống chương trỡnh cấp chứng chỉ số thử nghiệm cũng sử dụng định dạng chứng chỉ theo X.509, nờn luận văn này tập trung vào xem xột chi tiết chứng chỉ

cụng khai X.509. Trong luận văn, thuật ngữ chứng chỉ “certificate” được sử dụng

đồng nghĩa với chứng chỉ khoỏ cụng khai X.509 v3.

2.1.2 Chứng chỉ khoỏ cụng khai X.509

Chứng chỉ X.509 v3 là định dạng chứng chỉ được sử dụng phổ biến và được hầu hết cỏc nhà cung cấp sản phẩm PKI triển khai.

Chứng chỉ khoỏ cụng khai X.509 được Hội viễn thụng quốc tế (ITU) đưa ra lần đầu tiờn năm 1988 như là một bộ phận của dịch vụ thư mục X.500.

Chứng chỉ gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải cú trong chứng chỉ. Phần thứ hai chứa thờm một số trường phụ, những trường phụ này

được gọi là trường mở rộng dựng để xỏc định và đỏp ứng những yờu cầu bổ sung của hệ thống. Khuụn dạng của chứng chỉ X.509 được chỉ ra như trong hỡnh 2.2.

Version number Serial number Signature Issuer Validity period Subject Subject

public key Information Issuer unique identifier Subject unique identifier

Extensions

a. Những trường cơ bản của chứng chỉ X.509

- Version: xỏc định số phiờn bản của chứng chỉ.

- Certificate Serial Number: do CA gỏn, là định danh duy nhất của chứng chỉ.

- Signature Algorithm ID: chỉ ra thuật toỏn CA sử dụng để ký số chứng chỉ. Cú thể là thuật toỏn RSA hay DSA…

- Issuer: chỉ ra CA cấp và ký chứng chỉ.

- Validity Period: khoảng thời gian chứng chỉ cú hiệu lực. Trường này xỏc

định thời gian chứng chỉ bắt đầu cú hiệu lực và thời điểm hết hạn.

- Subject: xỏc định thực thể mà khoỏ cụng khai của thực thể này được xỏc nhận. Tờn của subject phải duy nhất đối với mỗi thực thể CA xỏc nhận.

- Subject public key information: chứa khoỏ cụng khai và những tham số

liờn quan; xỏc định thuật toỏn (vớ dụ RSA hay DSA) được sử dụng cựng với khoỏ.

- Issuer Unique ID (Optional): là trường khụng bắt buộc, trường này cho phộp sử dụng lại tờn người cấp. Trường này hiếm được sử dụng trong triển khai thực tế.

- Subject Unique ID (Optional): là trường tuỳ chọn cho phộp sử dụng lại tờn của subject khi quỏ hạn. Trường này cũng ớt được sử dụng.

- Extensions (Optional): chỉ cú trong chứng chỉ v.3.

- Certification Authority’s Digital Signature: chữ ký số của CA được tớnh từ

những thụng tin trờn chứng chỉ với khoỏ riờng và thuật toỏn ký sốđược chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ.

Tớnh toàn vẹn của chứng chỉ được đảm bảo bằng chữ ký số của CA trờn chứng chỉ. Khoỏ cụng khai của CA được phõn phối đến người sử dụng chứng chỉ

theo một số cơ chế bảo mật trước khi thực hiện cỏc thao tỏc PKI. Người sử dụng kiểm tra hiệu lực của chứng chỉ được cấp với chữ ký số của CA và khoỏ cụng khai của CA.

b. Những trường mở rộng của chứng chỉ X.509

Phần mở rộng là những thụng tin về cỏc thuộc tớnh cần thiết được đưa vào để

gắn những thuộc tớnh này với người sử dụng hay khoỏ cụng. Những thụng tin trong phần mở rộng thường được dựng để quản lý xỏc thực phõn cấp, chớnh sỏch chứng chỉ, thụng tin về chứng chỉ bị thu hồi…Nú cũng cú thểđược sử dụng đểđịnh nghĩa phần mở rộng riờng chứa những thụng tin đặc trưng cho cộng đồng nhất định. Mỗi trường mở rộng trong chứng chỉ được thiết kế với cờ “critical” hoặc “uncritical”.

- Authority Key Indentifier: chứa ID khoỏ cụng khai của CA, ID này là duy nhất và được dựng để kiểm tra chữ ký số trờn chứng chỉ. Nú cũng được sử dụng để

phõn biệt giữa cỏc cặp khoỏ do một CA sử dụng (trong trường hợp nếu CA cú nhiều hơn một khoỏ cụng khai). Trường này được sử dụng cho tất cả cỏc chứng chỉ tự ký số (CA - certificates).

- Subject Key Identifier: chứa ID khoỏ cụng khai cú trong chứng chỉ và

được sử dụng để phõn biệt giữa cỏc khoỏ nếu như cú nhiều khoỏ được gắn vào trong cựng chứng chỉ của người sử dụng (Nếu chủ thể cú nhiều hơn một khoỏ cụng khai).

- Key Usage: chứa một chuỗi bit được sử dụng để xỏc định (hoặc hạn chế) chức năng hoặc dịch vụđược hỗ trợ qua việc sử dụng khoỏ cụng khai trong chứng chỉ.

- Extended Key Usage: chứa một hoặc nhiều OIDs (định danh đối tượng – Object Identifier) để xỏc định cụ thể việc sử dụng khoỏ cụng trong chứng chỉ. Cỏc giỏ trị cú thể là : (1) xỏc thực server TLS, (2) xỏc thực client TLS, (3) Ký Mó, (4) bảo mật e-mail , (5) Tem thời gian.

- CRL Distribution Point: chỉ ra vị trớ của CRL tức là nơi hiện cú thụng tin thu hồi chứng chỉ. Nú cú thể là URI (Uniform Resource Indicator), địa chỉ của X.500 hoặc LDAP server.

- Private Key Usage Period: trường này cho biết thời gian sử dụng của khoỏ riờng gắn với khúa cụng khai trong chứng chỉ.

- Certificate Policies: trường này chỉ ra dóy cỏc chớnh sỏch OIDs gắn với việc cấp và sử dụng chứng chỉ.

- Policy Mappings: trường này chỉ ra chớnh sỏch xỏc thực tương đương giữa hai miền CA. Nú được sử dụng trong việc thiết lập xỏc thực chộo và kiểm tra đường dẫn chứng chỉ. Trường này chỉ cú trong chứng chỉ CA.

- Subject Alternative Name: chỉ ra những dạng tờn lựa chọn gắn với người sở hữu chứng chỉ. Những giỏ trị cú thể là: địa chỉ e-mail, địa chỉ IP, địa chỉ URI… - Issuer Alternative Name: chỉ ra những dạng tờn lựa chọn gắn với người cấp chứng chỉ.

- Subject Directory Attributes: trường này chỉ ra dóy cỏc thuộc tớnh gắn với người sở hữu chứng chỉ. Trường mở rộng này khụng được sử dụng rộng rói. Nú

được dựng để chứa những thụng tin liờn quan đến đặc quyền.

- Basic Constraints Field: trường này cho biết đõy cú phải là chứng chỉ CA hay khụng bằng cỏch thiết lập giỏ trị logic (true). Trường này chỉ cú trong chứng chỉ CA. Chứng chỉ CA dựng để thực hiện một số chức năng. Chứng chỉ này cú thểở

một trong hai dạng. Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này được gọi là chứng chỉ CA tự ký. Khi một CA mới được thiết lập, CA tạo ra một chứng chỉ CA tự ký để ký lờn chứng chỉ của người sử dụng cuối trong hệ thống. Và dạng thứ hai là CA cấp chứng chỉ cho những CA khỏc trong hệ thống.

- Path Length Constraint: trường này chỉ ra sốđộ dài tối đa của đường dẫn chứng chỉ cú thể được thiết lập. Giỏ trị “zero” chỉ ra rằng CA chỉ cú thể cấp chứng chỉ cho thực thể cuối , khụng cấp chứng chỉ cho những CA khỏc. (Trường này chỉ

cú trong chứng chỉ của CA).

- Name Constrainsts: được dựng để bao gồm hoặc loại trừ cỏc nhỏnh trong những miền khỏc nhau trong khi thiết lập mụi trường tin tưởng giữa cỏc miền PKI.

- Policy Constraints: được dựng để bao gồm hoặc loại trừ một số chớnh sỏch chứng chỉ trong khi thiết lập mụi trường tin tưởng giữa cỏc miền PKI.

Hỡnh 2.3 là nội dung chi tiết một chứng chỉ do hệ thống MyCA cấp.

Hỡnh 2.3: Nội dung chi tiết của chứng chỉ 2.1.3 Thu hồi chứng chỉ

Trong một số trường hợp như khoỏ bị xõm hại, hoặc người sở hữu chứng chỉ

thay đổi vị trớ, cơ quan…thỡ chứng chỉ đó được cấp khụng cú hiệu lực. Do đú, cần phải cú một cơ chế cho phộp người sử dụng chứng chỉ kiểm tra được trạng thỏi thu hồi chứng chỉ. X.509 cho phộp kiểm tra chứng chỉ trong cỏc trường hợp sau:

- Chứng chỉ khụng bị thu hồi

- Chứng chỉ đó bị CA cấp thu hồi

- Chứng chỉ do một tổ chức cú thẩm quyền mà CA uỷ thỏc cú trỏch nhiệm thu hồi chứng chỉ thu hồi

Cơ chế thu hồi X.509 xỏc định là sử dụng danh sỏch thu hồi chứng chỉ

(CRLs). X.509 đưa ra sự phõn biệt giữa ngày, thời gian chứng chỉ bị CA thu hồi và ngày, thời gian trạng thỏi thu hồi được cụng bốđầu tiờn. Ngày thu hồi thực sựđược ghi cựng với đầu vào chứng chỉ trong CRL. Ngày thụng bỏo thu hồi được xỏc định trong header của CRL khi nú được cụng bố. Vị trớ của thụng tin thu hồi cú thể khỏc nhau tuỳ theo CA khỏc nhau. Bản thõn chứng chỉ cú thể chứa con trỏđến nơi thụng tin thu hồi được xỏc định vị trớ. Người sử dụng chứng chỉ cú thể biết thư mục, kho lưu trữ hay cơ chếđể lấy được thụng tin thu hồi dựa trờn những thụng tin cấu hỡnh

được thiết lập trong quỏ trỡnh khởi sinh.

Để duy trỡ tớnh nhất quỏn và khả năng kiểm tra, CA yờu cầu:

- Duy trỡ bản ghi kiểm tra chứng chỉ thu hồi

- Cung cấp thụng tin trạng thỏi thu hồi

- Cụng bố CRLs khi CRL là danh sỏch trống

2.1.4 Chớnh sỏch của chứng chỉ

Như được giới thiệu trong phần trờn, một số mở rộng liờn quan đến chớnh sỏch cú trong chứng chỉ. Những mở rộng liờn quan đến chớnh sỏch này được sử

dụng trong khi thiết lập xỏc thực chộo giữa cỏc miền PKI. Một chớnh sỏch chứng chỉ

trong X.509 được định nghĩa là “tờn của tập cỏc qui tắc chỉ ra khả năng cú thể sử

dụng của chứng chỉ cho một tập thểđặc thự và một lớp ứng dụng với những yờu cầu bảo mật chung” [9].

Chớnh sỏch cú định danh duy nhất (được biết đến như định danh đối tượng hay OID) và định danh này được đăng ký để người cấp và người sử dụng chứng chỉ

cú thể nhận ra và tham chiếu đến. Một chứng chỉ cú thểđược cấp theo nhiều chớnh sỏch. Một số cú thể là thủ tục và mụ tả mức đảm bảo gắn với việc tạo và quản lý chứng chỉ. Những chớnh sỏch khỏc cú thể là kỹ thuật và mụ tả mức đảm bảo gắn với an toàn của hệ thống được sử dụng để tạo chứng chỉ hay nơi lưu trữ khoỏ [6].

Một chớnh sỏch chứng chỉ cũng cú thểđược hiểu là việc giải thớch những yờu cầu và giới hạn liờn quan đến việc sử dụng chứng chỉ được cụng bố theo những chớnh sỏch này. Chớnh sỏch chứng chỉ - Certificate Policies (CP) được chứa trong

trường mở rộng chuẩn của chứng chỉ X.509. Bằng việc kiểm tra trường này trong chứng chỉ, hệ thống sử dụng chứng chỉ cú thể xỏc định được một chứng chỉ cụ thể

cú thớch hợp cho mục đớch sử dụng hay khụng.

Một thuật ngữ chuyờn mụn khỏc “Certificate Practice Statement (CPS)”

được sử dụng để mụ tả chi tiết những thủ tục hoạt động bờn trong của CA và PKI cấp chứng chỉ với chớnh sỏch chứng chỉ đó qui định.

Chớnh sỏch chứng chỉ đặc biệt quan trọng khi đưa ra quyết định để xỏc nhận chộo hai PKI khỏc nhau.

2.1.5 Cụng bố và gửi thụng bỏo thu hồi chứng chỉ

Thụng thường chứng chỉ sẽ hợp lệ trong khoảng thời gian cú hiệu lực. Nhưng trong một số trường hợp chứng chỉ lại khụng hợp lệ trước thời gian hết hạn, vớ dụ như:

- Khoỏ riờng của chủ thể bị xõm phạm .

- Thụng tin chứa trong chứng chỉ bị thay đổi

- Khoỏ riờng của CA cấp chứng chỉ bị xõm phạm

Trong những trường hợp này cần cú một cơ chế để thụng bỏo đến những người sử dụng khỏc Một trong những phương phỏp để thụng bỏo đến người sử dụng về trạng thỏi của chứng chỉ là cụng bố CRLs định kỳ hoặc khi cần thiết. Ngoài ra, cú một số cỏch lựa chọn khỏc để thụng bỏo đến người sử dụng như dựng phương phỏp trực tuyến Online Certificate Status Protocol [18].

a. Certificate Revocation Lists (CRLs)

CRLs là cấu trỳc dữ liệu được ký như chứng chỉ người sử dụng. CRLs chứa danh sỏch cỏc chứng chỉ đó bị thu hồi và những thụng tin cần thiết khỏc của người sử dụng. CRL thường do một CA cấp. Tuy nhiờn CRL cũng cú thểđược sử dụng để

cung cấp thụng tin cho nhiều CA nếu nú được định nghĩa như một CRL giỏn tiếp. Những thụng tin này được chứa trong trường mở rộng CRL Scope.

Hỡnh 2.4 là khuụn dạng danh sỏch chứng chỉ bị thu hồi. Version number Signature Issuer This update Next update User certificate serial number Date of revocation Revocation reason User certificate serial number Date of revocation Revocation reason CRL extensions

Hỡnh 2.4: Khuụn dạng danh sỏch chứng chỉ bị thu hồi

Trong đú:

- Version number: chỉ ra phiờn bản của CRL.

- Signature: nhận biết loại hàm băm và thuật toỏn ký được sử dụng để ký danh sỏch thu hồi CRL.

- Issuer: tờn của thực thể cấp và ký CRL.

- This Update: chỉ ra ngày và thời gian CRL được cụng bố.

- Next Update: chỉ ra ngày và thời gian danh sỏch thu hồi kế tiếp được cấp.

- List of revoked certificates: chứa danh sỏch cựng với serial của những chứng chỉ bị thu hồi.

Những chứng chỉ đó bị CA thu hồi được ghi vào danh sỏch theo thứ tự của revokedCertificates. Mỗi đầu vào nhận biết chứng chỉ thụng qua số serial và ngày thu hồi trờn đú cú ghi rừ thời gian và ngày khi chứng chỉ bị CA thu hồi.

b. Authority Revocation List (ARLs)

ARL là một CRL đặc biệt chứa thụng tin thu hồi về chứng chỉ CA. ARLs khụng chứa chứng chỉ của người sử dụng cuối. Những thay đổi thụng thường trong ARL thường hiếm khi xảy ra bởi vỡ chứng chỉ của CA chỉ bị thu hồi khi khoỏ riờng của CA bị xõm hại và đú lại là trường hợp khụng thường xảy ra. Nếu chứng chỉ

chộo bị thu hồi thỡ người cấp chứng chỉ chộo này sẽ cụng bố một ARL mới để thụng bỏo với tất cả cỏc thực thể khỏc về tỡnh huống này. ARLs được sử dụng chủ yếu trong quỏ trỡnh thẩm tra đường dẫn chứng chỉ nếu mụi trường tin cậy bao gồm CA cú chứng chỉ xỏc thực chộo.

c. Cơ chế truy vấn On-line (On-line Query Mechanisms)

Một phần của tài liệu Luân văn: Xây dựng hệ thống cung cấp chứng chỉ số dựa trên hạ tầng khoá công khai potx (Trang 26 - 39)

Tải bản đầy đủ (PDF)

(79 trang)