Trong mục này các phƣơng pháp phân phối khĩa cơng khai sẽ đƣợc xem xét là:
̶ Cơng bố khĩa cơng khai
̶ Sử dụng thƣ mục khĩa cơng khai
̶ Sử dụng trung tâm quản lý khĩa cơng khai ̶ Sử dụng các chứng chỉ khĩa cơng khai
9.1.1. Cơng bố khĩa cơng khai
Chủ nhân của khố cơng khai tuỳ ý cơng bố khố cơng khai của mình. Khố cơng khai cĩ thể đƣợc cơng bố trên các phƣơng tiện thơng tin đại chúng nhƣ báo chí, truyền thanh, truyền hình, các cơng cụ Internet nhƣ mạng xã hội, thƣ điện tử, các trang web, blogs, các diễn đàn hoặc phát tán lên mạng với các phƣơng pháp khác nhau. Chủ nhân khố cơng khai cũng cĩ thể dùng các phƣơng pháp quảng cáo khác nhau để phổ biến thơng tin khố của mình. Nhƣ vậy, việc cơng bố khố đƣợc thực hiện khá dễ dàng. Tuy nhiên, chính vì sự dễ dàng đĩ mà thơng tin rất dễ bị thay đổi hoặc mạo danh.
Phƣơng pháp cơng bố khố cơng khai thƣờng đƣợc sử dụng trong mơi trƣờng hạn chế hoặc khi thơng tin về khố khơng quá quan trọng.
9.1.2. Thƣ mục khĩa cơng khai
Hình 9.2 Thư mục khĩa cơng khai
Thư mục khĩa cơng khai đƣợc tạo ra trên mạng Internet. Thƣ mục chứa các thực thể gồm tên chủ nhân khố và khĩa cơng khai tƣơng ứng. Chủ nhân khĩa cần đăng ký với thƣ mục trƣớc khi đƣa các thơng tin khố cơng khai của mình lên thƣ mục. Chủ nhân khĩa cơng khai cĩ thể đăng nhập vào thƣ mục và thay đổi thơng tin khĩa của mình mọi lúc. Mọi ngƣời chỉ cĩ thể thay đổi khố cơng khai của chính mình.
Thƣ mục khố cơng khai cần đƣợc cơng bố thƣờng xuyên trên mạng và thƣ mục khố cơng khai cần đƣợc truy cập bằng đƣờng điện tử. Việc quản lý thƣ mục khố cơng khai thƣờng đƣợc thực hiện trên cơ sở tự nguyện và thƣ mục thƣờng khơng thu phí.
Phƣơng pháp này khơng an tồn và khơng ổn định. Kẻ gian vẫn cĩ thể làm thay đổi hoặc giả mạo khố cơng khai của ngƣời khác một cách khơng khĩ khăn. Hơn nữa, thƣ mục khố cơng khai cĩ thể bị tấn cơng từ chối dịch vụ hoặc, thậm chí, cĩ thể bị xố hồn tồn nội dung thƣ mục.
9.1.3. Trung tâm quản lý khĩa cơng khai
Hình 9.3 Trung tâm quản lý khĩa cơng khai
Trung tâm quản lý khĩa cơng khai lƣu trữ khố cơng khai của ngƣời
dùng và sẽ cấp cho những ai cĩ nhu cầu tra cứu khố cơng khai của ngƣời khác một cách xác thực và an tồn.
Cơ chế hoạt động của trung tâm nhƣ sau:
- Ngƣời dùng A gửi thơng điệp cho trung tâm yêu cầu cấp thơng tin
khĩa cơng khai của B: Request || Time1
- Trung tâm gửi lại A khĩa cơng khai của B:
EKRtt [KUB || Request || Time1 ]
- B cũng làm tƣơng tự nhƣ A để cĩ đƣợc KUA
- A gửi cho B: EKUB [IDA || N1], trong đĩ N1 dùng để xác thực thơng điệp
- B sau đĩ gửi cho A: EKUA [N1 || N2] – xác thực B đúng là chủ nhân của khĩa KUB
- Cuối cùng, A gửi cho B: EKUB [N2] – A tự xác định chính mình Quy trình (1)(2) và (4)(5) là tƣơng tự nhau với mục tiêu yêu cầu khố cơng khai từ trung tâm quản lý khố cơng khai. Trong quá trình gửi yêu cầu và nhận trả lời cĩ giá trị time1và time2 là các mốc thời gian nhằm phân biệt các yêu cầu khác nhau. EKRttlà quy trình mã hố, sử dụng khố cá nhân của trung tâm nhằm xác thực và bảo đảm tính tồn vẹn thơng điệp trả lời.
Quy trình (3)(6)(7) chính là quy trình bắt tay (handshake) giữa A và B nhằm xác thực lẫn nhau. N1 và N2 là các giá trị dùng để xác thực. IDA là định danh của A.
Ƣu điểm của trung tâm quản lý khĩa cơng khai là tăng cƣờng bảo mật hơn so với thƣ mục phân phối khĩa cơng khai; các khố cơng khai đều đƣợc phân phối an tồn từ trung tâm. Ở đây, yêu cầu ngƣời dùng phải biết khĩa cơng khai của trung tâm để cĩ thể kiểm tra thơng điệp trả lời từ trung tâm khi cần. Bằng phƣơng pháp này, ngƣời dùng cĩ thể liên lạc với trung tâm để lấy khĩa cơng khai của đối tác một cách an tồn.
Nhƣợc điểm của hệ thống là ngƣời dùng cần phải liên lạc trực tiếp với trung tâm mỗi khi cần khĩa cơng khai và khơng phải lúc nào cũng cĩ thể làm đƣợc ngay việc đĩ.
9.1.4. Chứng chỉ khĩa cơng khai
Chứng chỉ khố cơng khai do một trung tâm quản lý khố cơng khai
(Certificate Authority - CA) cấp.
Cơ chế hoạt động của hệ thống nhƣ sau:
- A gửi thơng điệp cho CA yêu cầu cấp chứng chỉ cho khĩa cơng khai (KUA) của mình. (Chứng chỉ này cĩ thể do A tạo ra hoặc A uỷ quyền CA tạo ra cho mình)
- CA cấp cho A chứng chỉ khố cơng khai (CA):
CA = EKRauth [Time1 || IDA || KUA ]
- B cũng làm tƣơng tự nhƣ A để cĩ chứng chỉ cho khĩa ơng khai
của mình (KUB ) là CB
- A gửi CA cho B và B gửi CB cho A
- A và B sẽ đọc chứng chỉ nhận đƣợc để xác định khĩa cơng khai của nhau
Hình 9.4 Chứng chỉ khĩa cơng khai
Chứng chỉ CA cĩ giá trị time1 là tổng hợp các mốc thời gian nhƣ ngày cấp, thời hạn cĩ giá trị của chứng chỉ CA. IDA cho biết chứng chỉ này là của A. KUA là khố cơng khai của A. EKRAuthlà mã hố bằng khố cá nhân của CA, dùng để xác thực thơng tin mà CA cấp.
Nhƣ vậy, bản chất của chứng chỉ CA là tạo ra liên kết giữa IDA với
KUA trong khoảng thời gian đƣợc xác định bởi Time1 và tất cả thơng tin này đƣợc bảo đảm bởi một ngƣời thứ ba tin tƣởng là CA.
Chứng chỉ khố cơng khai cĩ ƣu điểm là cho phép trao đổi khĩa cơng khai mà khơng cần truy cập với thời gian thực tới nơi quản lý khĩa. Chứng chỉ khố cơng khai xác thực ngƣời sở hữu của khĩa cơng khai tƣơng ứng. Chứng chỉ khố cơng khai thƣờng kèm theo các thơng tin khác nhƣ: thời hạn cĩ hiệu lực của khĩa, thuật tốn mã hĩa, quyền sử dụng, …Tất cả nội dung trên đƣợc ký bởi thành phần tin tƣởng đƣợc gọi là Certificate Authority (CA). Mọi ngƣời sẽ cần cĩ khĩa cơng khai của CA để kiểm tra những chứng chỉ do CA cấp.
Chứng chỉ khố cơng khai hiện nay đang là phƣơng pháp phân phối khố cơng khai thuận tiện, an tồn và hiệu quả nhất.