4.2.1 Các yêu cầu cho CA
Bên cạnh các vấn đề pháp lý tương ứng với các chữ ký điện tử, một số luật phụ thuộc vào công nghệ (cả quốc gia và quốc tế) cũng bàn luận các yêu cầu của CA. Ví dụ, Luật EU chỉ ra các yêu cầu tương ứng với các CA mà phát hành các chứng chỉ đủ điều kiện. Như đã được chỉ ra trong Annex II của Luật EU, một CA mà cấp phát các chứng chỉ đủ điều kiện cần phải:
Chứng minh sự tin cậy cần thiết cho việc cung cấp các dịch vụ chứng thực Đảm bảo hoạt động thư mục nhanh và an toàn, dịch vụ huỷ bỏ lập tức và an toàn
Đảm bảo rằng ngày và thời gian khi chứng chỉ được phát hành hoặc huỷ bỏ có thể được xác định một cách chính xác
Kiểm tra, bằng các phương tiện thích hợp theo như luật quốc tế, định danh và nếu có thể, các thuộc tính cụ thể bất kỳ của chủ thể mà một chứng chỉ đủ điều kiện được cấp phát cho
Thuê cá nhân, người có hiểu biết chuyên gia, kinh nghiệm và bằng cấp cần thiết cho các dịch vụ được cung cấp, trong cạnh tranh cụ thể ở mức quản lý, sự tinh thông trong công nghệ chữ ký điện tử và sự quen biết với các thủ tục an toàn đúng; họ cũng cần phải áp dụng các thủ tục quản lý và hành chính mà là đủ mức và tương ứng với các chuẩn đã được công nhận
Sử dụng các hệ thống và sản phẩm tin cậy mà đã được bảo vệ chống lại việc thay đổi và đảm bảo độ an toàn mật mã và kỹ thuật của quá trình được hỗ trợ bởi chúng;
Có biện pháp chống lại việc làm giả các chứng chỉ, và trong trường hợp khi mà nhà cung cấp dịch vụ sinh ra dữ liệu tạo chữ ký, đảm bảo tính bí mật trong quá trình sinh dữ liệu như vậy
Duy trì đủ nguồn tài chính để hoạt động theo sự phù hợp với các yêu cầu được đặt ra trong Luật, đặc biệt để gánh chịu rủi ro tránh nhiệm cho các hư hỏng, ví dụ, bằng cách nhận được bảo hiểm thích hợp
Ghi lại tất cả thông tin thích đáng liên quan tới một chứng chỉ có đủ điều kiện cho một giai đoạn thích hợp về thời gian, đặc biệt cho mục đích cung cấp bằng chứng về chứng thực cho các mục đích của các xử lý pháp lý. Các ghi chép như vậy có thể được làm bằng cách điện tử
Không lưu hoặc sao chép dữ liệu để tạo chữ ký của người mà đối với người đó nhà cung cấp dịch vụ chứng chỉ cung cấp các dịch vụ quản lý khoá
Trước khi đi vào quan hệ hợp đồng với một người tìm chứng chỉ để hỗ trợ chữ ký điện tử của anh ta, thông báo cho người đó bằng các phương tiện thông tin bền vững về các điều khoản chính xác và các điều kiện đối với việc sử dụng chứng chỉ, bao gồm các giới hạn bất kỳ đối với việc sử dụng nó, sự tồn tại của một lược đồ tín dụng tình nguyện và các quá trình cho các khiếu nại và giải quyết tranh chấp. Thông tin như vậy, có thể được truyền bằng phương tiện điện tử, cần phải ở dạng viết và bằng một ngôn ngữ hiểu được. Các bên có liên quan của thông tin này cũng phải sẵn sàng khi có yêu cầu của các bên thứ ba, người dựa vào chứng chỉ
Sử dụng các hệ thống tin cậy để lưu trữ các chứng chỉ trong một dạng kiểm tra được sao cho:
Chỉ có những người được cho phép có thể truy nhập và thay đổi
Thông tin có thể được kiểm tra về tính xác thực
Các chứng chỉ là sẵn sàng công khai để tải về chỉ trong các trường hợp nhận được sự đồng thuận của người giữ chứng chỉ
Các thay đổi kỹ thuật bất kỳ mà làm tổn hại các yêu cầu an toàn này là được biết bởi người vận hành.
4.2.2 Các vai và các chức trách
Nhiều thành phần của PKI và ngay cả những khách hàng của PKI, có các trách nhiệm nào đó mà cần phải được tôn kính nếu các dịch vụ được làm cho thuận tiện bởi PKI được duy trì ở một mức độ an toàn chấp nhận được. Không ngạc nhiên, một số luật chữ ký điện tử phụ thuộc công nghệ đề cập tới các trách nhiệm tương ứng với những người đăng ký cũng như các CA. Các trách nhiệm của bên dựa vào
cũng được đề cập (mặc dù nó không được rõ nét khi so với những người đăng ký hay các CA).
Hình 4.1 minh hoạ 3 vai chính thông thường gặp phải trong kịch bản thương mại điện tử dựa vào công nghệ PKI. Các trách nhiệm tương ứng với mỗi thực thể này được mô tả chi tiết hơn ngay sau đây.
Hình 4.1: Các vai trò và các mối nghi ngờ thông thường
Các trách nhiệm của ngƣời đăng ký
Như đã được phản ánh trong một số luật công nghệ cụ thể, người sử dụng đầu cuối mà yêu cầu chứng chỉ để sử dụng về sau này (thông thường được gọi là người đăng ký) có trách nhiệm phải:
Làm các trình bày chân thực khi yêu cầu chứng chỉ
Xem và chấp nhận chứng chỉ trước khi sử dụng nó
CA Người đăng ký Bên sử dụng
Thông tin huỷ bỏ
Kiểm tra chứng chỉ
Phát hành chứng chỉ
Làm các biểu diễn nào đó khi chấp nhận chứng chỉ
Kiểm soát và giữ bí mật khoá bí mật tương ứng
Huỷ bỏ tức thời chứng chỉ khi có sự tổn thương của khoá bí mật tương ứng
Chú ý rằng hai trách nhiệm sau yêu cầu một lượng đáng kể hiểu biết về phía người đăng ký. Ví dụ, người đăng ký cần phải được đào tạo về cách "giữ bí mật khoá bí mật của mình". Trong một số các trường hợp, trách nhiệm này có thể được hỗ trợ bằng các phương tiện công nghệ cụ thể (ví dụ, thông qua việc sử dụng thẻ thông minh hay các thẻ phần cứng). Trong trường hợp bất kỳ, các hướng dẫn nào đó cần phải được chuyển tới người đăng ký, trong một số trường hợp, có thể là phụ thuộc vào công nghệ.
Các trách nhiệm của CA
Như đã được phản ảnh trong các luật công nghệ cụ thể, một CA có trách nhiệm với:
Sử dụng hệ thống tin cậy
Phơi bày các thực hành và thủ tục của nó
Nhận diện đúng một người đăng ký chứng chỉ có tiềm năng
Công bố chứng chỉ đã được phát hành vào kho lưu trữ
Treo và/hoặc huỷ bỏ các chứng chỉ
Làm các đảm bảo cho người yêu cầu chứng chỉ khi cấp phát chứng chỉ
Làm các đảm bảo đối với những người sử dụng chứng chỉ để kiểm tra các thông điệp đã được ký số
Tổng kết theo ngôn ngữ PKI, CA có trách nhiệm cài đặt đủ các thủ tục đăng ký thực thể cuối và phát triển CPS hoặc tương đương để hỗ trợ yêu cầu phơi bày (và cũng hỗ trợ các kiểm toán độc lập). Cũng có trách nhiệm sinh và đặt các chứng chỉ và thông tin huỷ bỏ chứng chỉ và để làm các đảm bảo khẩn cấp cho cả người đăng ký và các bên dựa vào sử dụng chứng chỉ được phát hành bởi CA.
Các trách nhiệm của các bên dựa vào(relying party) dường như là ít rõ ràng hơn các trách nhiệm đã được chỉ ra cho những người đăng ký và CA, ít nhất từ phương diện pháp lý. Tuy nhiên, bên dựa vào dường như là chịu trách nhiệm cho ít nhất 4 thứ sau:
Xác nhận hợp lệ của các chữ ký số từ những người đăng ký khởi tạo.
Hiểu biết về những qui tắc tương ứng với việc chấp nhận chữ ký số (ví dụ, bên dựa vào có trách nhiệm chấp nhận chữ ký số hợp pháp, hoặc đó chỉ là một lựa chọn?)
Việc giữ lại bản ghi để trợ giúp giải quyết các tranh chấp bất kỳ mà có thể xuất hiện trong tương lai.
Hiểu được cần phải làm gì khi có những sai sót và/hoặc khi xảy ra yêu cầu can thiệp hoặc hành động của bên dựa vào.
Tất nhiên, không mong đợi rằng bên dựa vào sử dụng máy tính tay để kiểm tra chữ ký số. Ngụ ý giả thiết rằng bên dựa vào sẽ giúp đỡ bằng một phần mềm mà được thiết kế ra để kiểm tra các chữ ký số (bao gồm xác nhận đường dẫn chứng thực).
Cũng như thế có thể nói về việc lưu giữ bản ghi: hoặc phần mềm mà là địa phương đối với bên dựa vào giúp cho các giao dịch liên quan đến việc ghi, hoặc bên thứ ba tin cậy sẽ sẵn sằng hỗ trợ dịch vụ này. Ít nhất, các giao dịch quan trọng nên được lưu trữ trong dạng đã được ký số của chúng. Các yêu cầu tem thời gian và/hoặc công chứng dường như là được tương ứng với dịch vụ này trong tương lai.
Điểm thứ 4 trong danh sách trên làm việc với các thứ mà có thể yêu cầu can thiệp trực tiếp của bên dựa vào. Ví dụ, cái gì xảy ra khi thông tin huỷ bỏ cần thiết là không sẵn sàng? Cái gì mà bên dựa vào cho phép/chờ đợi làm hoặc không trong trường hợp này? Cái gì xảy ra khi bên dựa vào nhận được báo hiệu rằng chứng chỉ đã bị treo? Sự hỗ trợ có thể được cung cấp cho bên dựa vào; ví dụ, bên dựa vào có thể được chỉ đạo để gọi điện cho nhà thẩm quyền mà có thể cung cấp các mệnh lệnh thêm cho bên dựa vào. Tuy nhiên, không phải lúc nào cũng thế.
Chƣơng 5 - PKI TRONG THỰC TẾ VÀ TƢƠNG LAI