Lịch sử khoá (Key History)
Bởi vì các chứng chỉ được phát hành với thời gian sống cố định, các khoá mã dần dần hết hạn. Tuy nhiên, điều đó không có nghĩa rằng tất cả dữ liệu mà đã được mã hoá bằng khoá đó sẽ không thể khôi phục lại được. Cho nên cần lưu giữ an toàn và tin cậy các khoá cần thiết để giải mã ngay cả khi chứng chỉ để mã tương ứng đã hết hạn. Những nguyên liệu ấy được coi là lịch sử khoá.
Yêu cầu cho dịch vụ này chủ yếu cho các khoá để bảo mật. Đặc biệt, các khoá bí mật được sử dụng cho giải mã cần được lưu trữ sao cho dữ liệu mà đã được mã hoá nhờ khoá công khai để mã tương ứng có thể khôi phục được trong tương lai. Người ta cũng có thể tranh cãi rằng lịch sử khoá cũng áp dụng đối với các khoá được sử dụng cho các mục đích chữ ký số, mặc dù điều đó được thoả mãn một cách thích hợp hơn thông qua lưu trữ khoá.
Thông tin lịch sử khoá thông thường được lưu trữ cục bộ đối với người chủ để dễ lấy lại khi cần thiết. Tuy nhiên, nó cũng có thể được lưu giữ bởi CA hay một bên
Thực thể đầu cuối
CA 1. Yêu cầu huỷ bỏ chứng chỉ
2. Phúc đáp huỷ bỏ chứng chỉ
RA Yêu cầu
out-of-band
1. Yêu cầu huỷ bỏ chứng chỉ 2. Phúc đáp huỷ bỏ chứng chỉ
tin cậy khác, giả thiết rằng cơ chế tự động hoá là có thể để lấy lại một cách an toàn các khoá cần thiết khi cần thiết.
Lƣu trữ khoá (Key Archive)
Lưu trữ khoá là cất giữ các khoá trong thời hạn lâu dài (bao gồm các chứng chỉ để mã và kiểm tra), thông thường được hỗ trợ bởi CA hoặc bên tin cậy khác. Lưu trữ khoá khác với lịch sử khoá theo nghĩa rằng lưu trữ có thể được sử dụng cho cả các mục đích kiểm toán và để giúp đỡ giải quyết tranh chấp, đặc biệt khi được kèm với tem thời gian tin cậy và các dịch vụ công chứng.
Lịch sử khoá thông thường đi kèm trực tiếp với thực thể đầu cuối để cung cấp truy cập dễ tới các khoá để giải mã của thực thể đầu cuối này khi cố gắng truy cập dữ liệu mà đã được mã hoá bằng khoá mà đã hết hạn. Lưu trữ khoá là dịch vụ thông thường được cung cấp bởi bên thứ ba, nó bao gồm việc lưu giữ các khoá tương ứng với nhiều thực thể đầu cuối. Các dịch vụ được cung cấp bởi lưu trữ khoá có thể bao gồm (hoặc đi cùng với) các dịch vụ công chứng hoặc tem thời gian, các vết kiểm toán, và/hoặc khôi phục lịch sử khoá của thực thể đầu cuối. Dịch vụ sau là cần thiết khi lịch sử khoá cục bộ của thực thể đầu cuối bị mất hoặc bị huỷ. Lịch sử khoá của thực thể đầu cuối đã cho có thể được khôi phục bởi thiết bị lưu trữ khoá trong một phúc đáp cho một yêu cầu từ (1) người chủ của lịch sử khoá hoặc (2) một ai đó được cấp phép để truy cập các khoá khi vắng mặt thực thể đầu cuối (ví dụ, nhân viên an ninh của công ty).
Cuối cùng, thiết bị lưu trữ khoá có thể cần thiết khi cố gắng nhằm kiểm tra một chữ ký số được tạo ra bởi các khoá mà bây giờ đã hết hạn. Việc lấy lại chứng chỉ khoá công khai đã hết hạn sẽ được yêu cầu trong trường hợp này (giả sử rằng chứng chỉ khoá công khai là không đi kèm với dữ liệu đã được ký số). Nó cũng có thể đi kèm với dịch vụ công chứng và có thể được sử dụng để chứng minh rằng khoá bí mật để ký là hợp lệ tại thời điểm chữ ký số được tạo ra (ngay cả khi khoá đó đã hết hạn).
3.3 Huỷ bỏ chứng chỉ 3.3.1 Mở đầu 3.3.1 Mở đầu
Như đã thảo luận ở trên, các chứng chỉ được sử dụng để gắn một tên với khoá công khai tương ứng của nó. Bình thường, việc gắn này là hợp lệ cho toàn bộ thời gian sống của chứng chỉ đã được ban hành. Tuy nhiên, nhiều tình huống nảy sinh khi chứng chỉ đã được phát hành không được xem là tiếp tục hợp lệ nữa, ngay cả khi chứng chỉ chưa hết hạn. Các lý do để huỷ bỏ là khác nhau, nhưng chúng có thể bao gồm bất kỳ một cái gì từ sự thay đổi trong trạng thái công việc tới việc nghi ngờ khoá bí mật bị lộ. Cho nên, một phương pháp hiệu quả và tin cậy cần phải được cung cấp để huỷ bỏ một chứng chỉ khoá công khai trước khi nó hết hạn một cách tự nhiên.
Các chứng chỉ cần phải trải qua một quá trình kiểm chứng được thiết lập rõ ràng trước khi chúng có thể được sử dụng. Một phần của quá trình kiểm chứng bao gồm việc đảm bảo rằng chứng chỉ cần đánh giá chưa bị huỷ. Thực ra, CA có trách nhiệm niêm yết thông tin huỷ bỏ ở một dạng này hay một dạng khác. Các bên tin tưởng vào chứng chỉ (nhắc lại rằng bên tin tưởng là người sử dụng chứng chỉ cho một mục đích nào đó) cần phải có một cơ chế để hoặc tải thông tin huỷ bỏ về một cách trực tiếp hoặc chuyển tiếp tới bên tin cậy thứ ba nhằm giải quyết yêu cầu theo ý muốn của họ[1,7]. Hình 3.6 sau minh hoạ các khái niệm này.