Những hệ thống cho phép PKI có những chức năng khác nhau. Nhưng nhìn chung có hai chức năng chính là: chứng thực và thẩm tra.
2.3.1 Chứng thực (certification)
Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đây là quá trình ràng buộc khoá công khai với định danh của thực thể. CA là thực thể PKI thực hiện chức năng chứng thực. Có hai phương pháp chứng thực:
- Tổ chức chứng thực (CA) tạo ra cặp khoá công khai / khoá bí mật và tạo ra chứng thư số cho phần khoá công khai của cặp khoá.
- Người sử dụng tự tạo cặp khoá và đưa khoá công khai cho CA để CA tạo chứng thư số cho khoá công khai đó. Chứng thư số đảm bảo tính toàn vẹn của khoá công khai và các thông tin gắn cùng.
2.3.2 Thẩm tra (validation)
Quá trình xác định liệu chứng thư số đã đưa ra có thể được sử dụng đúng mục đích thích hợp hay không được xem như là quá trình kiểm tra tính hiệu lực của chứng thư số. Quá trình này bao gồm một số bước sau:
- Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lên chứng thư số hay không (xử lý theo đường dẫn chứng thư số).
- Kiểm tra chữ ký số của CA trên chứng thư số để kiểm tra tính toàn vẹn. - Xác định xem chứng thư số còn ở trong thời gian có hiệu lực hay không. - Xác định xem chứng thư số đã bị thu hồi hay chưa.
- Xác định xem chứng thư số đang được sử dụng có đúng mục đích, chính sách, giới hạn hay không (bằng cách kiểm tra những trường mở rộng cụ thể như mở rộng chính sách chứng thư số hay mở rộng việc sử dụng khoá).
2.3.3 Một số chức năng khác
Hệ thống PKI thực hiện chức năng chứng thực, thẩm tra cùng với một số chức năng phụ trợ khác. Dưới đây là một số chức năng và dịch vụ được hầu hết các hệ thống PKI cung cấp. Một số những chức năng khác có thể được định nghĩa tuỳ theo yêu cầu cụ thể của các hệ thống PKI.
Đăng ký
Đăng ký là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để đăng ký các thông tin và xin cấp chứng thư số. RA và CA là những thực thể trong quá trình đăng ký. Quá trình đăng ký phụ thuộc vào chính sách của tổ chức. Nếu chứng thư số được cung cấp với mục đích dùng cho những hoạt động bí mật thì sử dụng phương pháp gặp mặt trực tiếp. Nếu chứng thư số chỉ được sử dụng cho những mục đích, hoạt động thường thì có thể đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử.
Khởi tạo ban đầu
Khi hệ thống trạm của chủ thể nhận được các thông tin cần thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu. Những thông tin này có thể là khoá công khai của CA, chứng thư số của CA, cặp khóa công /bí mật của chủ thể.
Một số hệ thống khác sử dụng cơ chế dựa trên password trong giai đoạn khởi tạo. Người dùng cuối liên lạc với CA khi nhận được password và sau đó thiết lập một kênh bảo mật để truyền những thông tin cần thiết. Giai đoạn khởi tạo thường tiếp tục với quá trình chứng thực.
Khôi phục cặp khoá
Hầu hết hệ thống PKI tạo ra hai cặp khoá cho người sử dụng cuối, một để ký số và một để mã hoá. Lý do để tạo hai cặp khoá khác nhau xuất phát từ yêu cầu khôi phục và sao lưu dự phòng khoá.
Tuỳ theo chính sách của tổ chức, bộ khoá mã (mã và giải mã) và những thông tin liên quan đến khoá của người sử dụng phải được sao lưu để có thể lấy lại được dữ liệu khi người sử dụng mất khoá bí mật hay rời khỏi đơn vị.
Còn khoá để ký số được sử dụng tuỳ theo mục đích cá nhân nên không được sao lưu. Riêng khoá bí mật của CA thì được lưu giữ dự phòng trong một thời gian dài để giải quyết những vấn đề nhầm lẫn có thể xảy ra trong tương lai. Hệ thống PKI có những công cụ để thực hiện chức năng sao lưu và khôi phục khoá.
Tạo khoá
Cặp khoá công khai/bí mật có thể được tạo ở nhiều nơi. Chúng có thể được tạo ra bằng phần mềm phía client và được gửi đến CA để chứng thực. CA cũng có thể tạo ra cặp khoá trước khi chứng thực. Trong trường hợp này, CA tự tạo cặp khoá và gửi khoá bí mật này cho người sử dụng theo một cách an toàn. Nếu khoá do bên thứ ba tạo ra thì những khoá này phải được CA tin cậy trong miền xác nhận trước khi sử dụng.
Hạn sử dụng và cập nhật khoá
Một trong những thuộc tính của chứng thư số là thời gian hiệu lực. Thời gian hiệu lực của mỗi cặp khoá được xác định theo chính sách sử dụng. Các cặp khoá của người sử dụng nên được cập nhật khi có thông báo về ngày hết hạn. Hệ thống sẽ thông báo về tình huống này trong một thời gian nhất định. Chứng thư số mới sẽ được người cấp công bố tự động sau thời gian hết hạn.
Xâm hại khoá
Đây là trường hợp không bình thường nhưng nếu xảy ra thì khoá mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ nhận thấy điều này. Xâm hại đến khoá của CA là một trường hợp đặc biệt. Và trong trường hợp này thì CA sẽ công bố lại tất cả các chứng thư số với CA-certificate mới của mình
Thu hồi
Chứng thư số được công bố sẽ được sử dụng trong khoảng thời gian có hiệu lực. Nhưng trong trường hợp khoá bị xâm hại hay có sự thay đổi trong thông tin của chứng thư số thì chứng thư số mới sẽ được công bố, chứng thư số cũ sẽ bị thu hồi.
Công bố và gửi thông báo thu hồi chứng thư số
Một chứng thư số được cấp cho người sử dụng cuối sẽ được gửi đến cho người nắm giữ và hệ thống lưu trữ để có thể truy cập công khai. Khi một chứng thư số bị thu hồi vì một lý do nào đó, tất cả người sử dụng trong hệ thống sẽ được thông báo về việc này. Phương thức để công bố và gửi những thông báo thu hồi đã được đề cập chi tiết trong nội dung về chứng thư số ở phần trên.
Xác thực chéo
Xác thực chéo là một trong những đặc tính quan trọng nhất của hệ thống PKI. Chức năng này được sử dụng để nối hai miền PKI khác nhau. Xác thực chéo là cách để thiết lập môi trường tin cậy giữa hai CA dưới những điều kiện nhất định.
Những điều kiện này được xác định theo yêu cầu của người sử dụng. Những người sử dụng ở các miền khác nhau chỉ có thể giao tiếp an toàn với người khác sau khi việc xác thực chéo giữa các CA thành công.
Xác thực chéo được thiết lập bằng cách tạo chứng thư số CA xác thực lẫn nhau. Nếu CA-1 và CA-2 muốn thiết lập xác thực chéo thì cần thực hiện một số bước sau:
- CA-2 công bố CA - certificate cho CA-1.
- CA-1 và CA-2 sẽ sử dụng những trường mở rộng xác định trong chứng thư số để đặt những giới hạn cần thiết trong CA-certificate.
Việc xác thực chéo đòi hỏi phải có sự kiểm tra cẩn thận các chính sách PKI. Nếu cả hai đều có cùng hoặc tương tự chính sách của nhau thì việc xác thực chéo sẽ có ý nghĩa. Ngược lại, sẽ có những tình huống không mong muốn xuất hiện trong trường hợp chính sách PKI của một miền trở thành một phần của miền khác.
Trường mở rộng “Policy mapping”, “name constraints” và “policy constraints” của chứng thư số X.509 chuẩn được sử dụng trong xác thực chéo để đưa ra một số giới hạn trong môi trường tin cậy.
Hình 2.7 minh hoạ đường dẫn cấp chứng thư số được xây dựng giữa 2 CA (2 CA này đã thiết lập mối quan hệ tin cậy sử dụng xác thực chéo ngang hàng).
Mô hình chỉ ra chứng thư số chéo được cấp giữa mỗi CA và chứng thư số thực thể cuối được CA cấp. Người cấp của một chứng thư số là chủ thể của chứng thư số khác. Khoá công khai được xác nhận trong một chứng thư số tương ứng với khoá bí mật được sử dụng để ký chứng thư số khác.
Hình 2.7: Đường dẫn chứng thư số chéo2.4 MÔ HÌNH TIN CẬY CHO PKI 2.4 MÔ HÌNH TIN CẬY CHO PKI
X.509 định nghĩa sự tin cậy như sau: “Một thực thể có thể được nói là tin cậy với một thực thể thứ hai nếu nó (thực thể đầu tiên) tạo ra sự đảm bảo rằng thực thể thứ hai sẽ thực hiện chính xác như thực thể thứ nhất mong đợi” [10].
Định nghĩa này có thể được diễn đạt lại về mặt PKI như sau: một thực thể cuối tin cậy một CA khi thực thể cuối cho rằng CA sẽ thiết lập và duy trì sự gắn kết các thuộc tính của khoá công khai một cách chính xác.
Có một số mô hình tin cậy có thể được áp dụng hoặc được đề xuất để sử dụng trong hạ tầng mã khoá công khai - PKI dựa trên X.509:
- Single CA Model (mô hình CA đơn) - Hierarchical Model (Mô hình root)
- Mesh Model (Mô hình mắt lưới - mô hình xác thực chéo) - Hub and Spoke (Bridge CA) Model (Mô hình cầu CA) - Web Model (Trust Lists) (Mô hình web)
- User Centric Model (Mô hình người sử dụng trung tâm)
Mỗi mô hình đều có ưu và nhược điểm riêng. Việc lựa chọn mô hình nào tuỳ thuộc vào những yêu cầu mục đích của cộng đồng người dùng, tổng chi phí, thời gian triển khai, nhân lực quản lý, công nghệ hỗ trợ và một số vấn đề liên quan khác. Luận văn này sẽ tập trung xem xét mô hình root mô hình được cân nhắc để xây dựng hệ thống CA NHNN.
Hình 2.8: Mô hình root
- Các CA được tổ chức theo cấp bậc
- Root CA cấp chứng thư số cho các SubCA, user
- SubCA cấp chứng thư số cho user thuộc tổ chức của mình - Toàn bộ user trong hệ thống tin cậy RootCA
Ưu điểm của mô hình Root
- Có thể quản lý, đưa ra chính sách, quản trị một cách thống nhất trong toàn Ngành
o Dễ đưa các chính sách quản lý hành chính vào trong các ứng dụng tích hợp PKI
- Dễ dàng thêm SubCA khi có nhu cầu - Dễ xây dựng đường chứng thư số
o Chỉ cần tìm ngược đường chứng thư số Bottom-up dựa vào trường issuer trong chứng thư số của thực thể con đến root CA hoặc explicit issue CA của thực thể
o Thuật toán đơn giản, dễ tích hợp với các ứng dụng và các thiết bị. - Đường chứng thư số ngắn
o Số truy cập vào directory ít, không tốn nhiều băng thông
o Thời gian để kiểm định ngắn, chi phí tính toán thấp
o Chi phí cho thiết bị thấp, dễ tích hợp vào thiết bị - License cho phần mềm CA thấp
o Cùng một số chứng thư số, càng ít root CA, giá thành càng thấp
Nhược điểm của mô hình Root
- Khó khăn khi tích hợp với CA đã có
o Không thể chuyển một Root CA đã có thành sub CA của một CA khác - Rất nguy hiểm khi khóa Root bị lộ
o Toàn bộ hệ thống bị mất điểm tin cậy, việc phục hồi gặp nhiều khó khăn
o Rất khó xảy ra, vì root CA key thường được giữ offline, ít dùng và bảo quản an toàn
Đánh giá
- Chặt chẽ, thống nhất về mặt kiến trúc - Thuận lợi khi phát triển trong tương lai
CHƯƠNG 3
TỔNG QUAN VỀ GIẢI PHÁP PKI CỦA ENTRUST
Hiện nay có nhiều sản phẩm phần mềm quản trị CA: Entrust CA, Microsoft CA, RSA Keon,…
Sản phẩm phần mềm Entrust CA là sản phẩm đi đầu trong lĩnh vực PKI, được hãng Entrust phát triển với mục đích tạo ra một hệ thống quản lý cấp phát chứng thư số, khoá của người dùng giúp cho việc nhận dạng số và xác thực mọi giao dịch cần phải bảo mật, an toàn, xác thực.
Entrust CA có thể sử dụng chữ ký số, mã hoá, phân quyền đáp ứng cho phần lớn các ứng dụng sử dụng chứng thư số.
Sau đây là những giới thiệu tổng quan về giải pháp PKI của Entrust
3.1 CÁC TÍNH NĂNG NỔI BẬT CỦA ENTRUST CA
- Cung cấp, đáp ứng số người sử dụng lớn.
- Sử dụng các lớp user quản trị, rất đa dạng và hiệu quả. Quản trị CA (bao gồm 3 người), quản trị user (các admin), quản trị CP và CPS (các officer).. - Các quy trình sinh khóa, cập nhật, khôi phục, thu hồi chuyên nghiệp, tuân
theo đúng các tiêu chuẩn quốc tế.
- Hỗ trợ nhiều cặp khóa cho một chứng thư số (1 key pair, 2 key pairs, 3 key pairs, 4 key pair) và phù hợp với nhiều tính năng sử dụng khác nhau.
- Độ dài khoá mã: 1024 bits - 6144 bits.
- Hệ thống sử dụng đơn giản, dễ dàng. Tính năng quản trị thân thiện thông qua giao diện Windows form và Web base.
- Quản trị các kiểu chứng thư số, và tương ứng là các loại người dùng, các vai trò (role).
- Hỗ trợ đa dạng các loại Directory tiên tiến và dễ dàng lựa chọn. Directory có thể đặt trên CA server hoặc một server riêng biệt. Có thể sử dụng nhiều Directory với một CA.
3.2 KIẾN TRÚC HỆ THỐNG ENTRUST CA
Các thành phần của hệ thống Entrust CA chuẩn:
Hình 3.1: Các thành phần của hệ thống Entrust CA chuẩn
Entrust Authority™ Security Manager
Là thành phần chính của hệ thống, thực hiện các chức năng:
- Tạo chứng thư số cho người dùng, ứng dụng (xác thực cho các khoá công khai)
- Bảo trì cơ sở dữ liệu hệ thống, cho phép phục hồi các cặp khoá người dùng - Buộc hệ thống tuân thủ các thủ tục bảo mật
Thành phần Entrust Authority™ Security Manager Control
Thành phần này thực hiện các chức năng: - Khởi động / Tắt dịch vụ Entrust CA - Quản lý CSDL của Entrust CA
- Khôi phục lại mật khẩu của Security Officer.
Thành phần Entrust Authority™ Security Manager Database
Thành phần này đảm bảo việc lưu trữ các thông tin của hệ thống CA như thông tin về lịch sử khoá, thông tin phục vụ việc phục hồi các cặp khoá người dùng (khoá mã hoá). Thành phần này thực hiện các chức năng sau:
- Lưu thông tin trạng thái người dùng
- Lưu thông tin khoá và chứng thư số của người dùng
- Lưu thông tin về chính sách người dùng và chính sách bảo mật - Lưu thông tin các chứng thư số bị thu hồi
Thành phần này là 1 ứng dụng nhằm cung cấp giao diện cho người điều hành hệ thống (người được tin cậy) thực hiện các chức năng của hệ thống CA như:
- Bổ sung người dùng (xác thực chứng thư số người dùng) - Quản lý người dùng và chứng thư số của họ
- Quản lý chính sách bảo mật - Xây dựng cây xác thực
Thành phần Directory - Entrust Ready Database
Thành phần này thực hiện việc lưu trữ để phân phối chứng thư số của người dùng hệ thống CA và 1 số thông tin khác tới tất cả người dùng và ứng dụng cần sử dụng. Hệ thống này là hệ thống tương thích LDAP (Lightweight Directory Access Protocol). Cụ thể hệ thống này phục vụ hệ thống CA bằng việc lưu trữ các thông tin sau:
- Chứng thư số số người dùng
- Danh sách các chứng thư số bị thu hồi - Thông tin chính sách người dùng
Thành phần Client
Đây là thành phần người dùng cuối, thành phần này là các ứng dụng có khả năng khai thác dịch vụ mà hệ thống CA mang lại. Các ứng dụng này bao gồm:
- Ứng dụng mã hoá trong giao dịch ngân hàng trực tuyến - Ứng dụng ký điện tử trong giao dịch ngân hàng trực tuyến