Thu hồi chứng chỉ

Một phần của tài liệu (LUẬN văn THẠC sĩ) hạ tầng cơ sở khóa công khai và ứng dụng trong giao dịch điện tử trên mạng luận văn ths công nghệ thông tin 1 01 10 (Trang 54 - 61)

2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI

2.4.4 Thu hồi chứng chỉ

Thời gian tồn tại của một chứng chỉ khoá công khai bị giới hạn, có thể biết đ-ợc thời gian này thông qua giờ/ngày bắt đầu có hiệu lực và giờ/ngày hết hạn của một chứng chỉ, tất cả những thông tin này nằm trong phần đ-ợc ký của chứng chỉ. Khoảng thời gian hợp lệ này kéo dài bao lâu là do chính sách của CA phát hành, thông th-ờng thời gian tồn tại kéo dài từ vài tháng đến vài năm.

Khi một chứng chỉ đ-ợc phát hành, nó có thể đ-ợc sử dụng trong suốt thời gian hợp lệ của mình. Tuy nhiên, trong một số tr-ờng hợp, những ng-ời sử dụng không nên tiếp tục tin t-ởng vào một chứng chỉ mặc dù thời hạn hợp lệ của chứng chỉ này ch-a kết thúc. Những tr-ờng hợp đó bao gồm phát hiện hoặc nghi ngờ khoá riêng bị lộ, thay đổi tên và thay đổi mối quan hệ giữa chủ thể và CA (ví dụ nh- một ng-ời làm công kết thúc hợp đồng làm thuê với một tổ chức). Trong những tr-ờng hợp nh- vậy, CA có thể thu hồi chứng chỉ. Do có thể bị thu hồi, khoảng thời gian hoạt động của một chứng chỉ có thể ngắn hơn so với khoảng thời gian hợp lệ đ-ợc định tr-ớc.

2.4.4.1 Yờu cầu thu hồi

Quyết định thu hồi một chứng chỉ thuộc trách nhiệm của một CA, nói chung để đáp ứng một yêu cầu từ một ng-ời có quyền nào đó. Ng-ời có quyền thu hồi chứng chỉ

dựa vào các hoạt động của một CA, thuê bao phải đ-ợc biết các hoạt động này. Nói chung, thuê bao có quyền yêu cầu thu hồi chứng chỉ của mình. Những ng-ời có trách nhiệm của CA cũng có quyền thu hồi chứng chỉ của một thuê bao trong các tr-ờng hợp bắt buộc, ví dụ nh- vi phạm nghiêm trọng vào những điều khoản bắt buộc trong hoạt động chứng thực (CPS) do CA đ-a ra. Ngoài ra, những ng-ời khác có thể có quyền yêu cầu thu hồi, ví dụ những ng-ời làm công của thuê bao có thể yêu cầu thu hồi chứng chỉ liên quan đến hợp đồng làm thuê.

CA sẽ xác thực nguồn gốc của bất cứ yêu cầu thu hồi nào. Khi có cơ quan đăng ký địa ph-ơng, trách nhiệm tiếp nhận và phê chuẩn các yêu cầu thu hồi thuộc trách nhiệm của cơ quan này.

2.4.4.2 Danh sỏch chứng chỉ bị thu hồi (CRL)

Sau khi quyết định thu hồi một chứng chỉ, CA cần thụng bỏo cho những người sử dụng chứng chỉ biết sự thu hồi này. Giải phỏp thụng bỏo thụng dụng nhất là CA phỏt hành định kỳ một cấu trỳc dữ liệu được gọi là danh sỏch cỏc chứng chỉ bị thu hồi. Khỏi niệm CRL được trỡnh bày trong chuẩn X.509. CRL là một danh sỏch cỏc chứng chỉ bị thu hồi được gỏn nhón thời gian, danh sỏch này được CA ký và cụng bố. CRL cú thể phõn tỏn, vớ dụ gửi nú đến một địa chỉ Web xỏc định hoặc thụng qua đầu vào danh bạ X.500 của CA. Mỗi chứng chỉ bị thu hồi được CRL nhận dạng thụng qua số hiệu của nú, mỗi chứng chỉ cú một số hiệu duy nhất, số hiệu này do CA phỏt hành sinh ra và nú nằm trong chứng chỉ. Cỏc thụng tin chớnh của một CRL đơn giản được trỡnh bày trong hỡnh 2.6.

Tên ng-ời phát hành Giờ/Ngày phát hành CRL Số hiệu của chứng chỉ Giờ/Ngày huỷ bỏ Số hiệu của chứng chỉ Giờ/Ngày huỷ bỏ Số hiệu của chứng chỉ Giờ/Ngày huỷ bỏ Chữ ký số của ng-ời phát hành

Khoá riêng của CA

Khi hệ thống sử dụng một chứng chỉ, nú phải kiểm tra chữ ký số cú trong chứng chỉ, khoảng thời gian hợp lệ của chứng chỉ, một CRL phự hợp gần nhất để biết được rằng số hiệu của chứng chỉ khụng nằm trong CRL này. CRL phự hợp gần nhất khụng được chuẩn hoỏ và cú thể thay đổi theo chớnh sỏch cục bộ; Nhưng trong hầu hết cỏc chớnh sỏch, điều này cú nghĩa là một CRL được phỏt hành trong khoảng thời gian gần nhất.

CA phỏt hành cỏc CRL định kỳ, thời gian phỏt hành kế tiếp cú thể tớnh theo giờ, ngày hoặc tuần. Khoảng thời gian này do chớnh sỏch của CA quyết định.

Một CRL mới được phỏt hành theo từng giai đoạn khỏc nhau mà khụng cần để ý đến quyết định thu hồi mới được bổ sung thờm vào danh sỏch trong khoảng thời gian cuối cựng, điều này rất cần thiết, do đú một hệ thống sử dụng chứng chỉ cú thể chắc chắn rằng đõy là một CRL mới cập nhật. Một đặc điểm hấp dẫn của giải phỏp thu hồi là cỏc CRL cú thể được phõn phối cựng một cỏch thức như đó dựng để phõn phối chứng chỉ khoỏ cụng khai, tức là thụng qua truyền thụng và cỏc hệ thống mỏy chủ khụng cần đảm bảo chặt chẽ tớnh toàn vẹn của dữ liệu (một khi CRL đó được ký). Vỡ vậy, cỏch thức này trở nờn kinh tế hơn khi cài đặt và thực hiện (ở đõy khụng cần cỏc mỏy chủ tin cậy đắt tiền hoặc cỏc kờnh truyền thụng an toàn).

Một hạn chế của giải phỏp này là thời gian định kỳ, nú hạn chế khoảng thời gian phỏt hành CRL. Vớ dụ, khi cú một thụng bỏo thu hồi khụng được chuyển tới cỏc hệ thống sử dụng chứng chỉ một cỏch tin cậy cho đến khi thời gian phỏt hành CRL kế tiếp bắt đầu (vớ dụ, cú thể khoảng 1 giờ, 1 ngày, 1 tuần hoặc lõu hơn). Lưu ý rằng, khụng cú gỡ ngăn cản được một CA sinh ra và gửi đi một CRL mới ngay khi cú một thu hồi mới xuất hiện (hoặc đó trở nờn rừ ràng). Tuy nhiờn, khụng gỡ cú thể đảm bảo rằng cỏc CRL khụng định kỳ (off cycle CRL) như vậy cú đến được cỏc hệ thống sử dụng chứng chỉ hay khụng. Vớ dụ, nếu một đối tượng truy nhập trỏi phộp xoỏ một CRL khụng định kỳ từ một mỏy chủ khụng tin cậy và thay thế vào đú là một CRL đó được phỏt hành trước đú, mà hệ thống sử dụng chứng chỉ khụng thể phỏt hiện ra được.

2.4.4.3 Việc quảng bỏ cỏc CRL

Một đặc tớnh quan trọng của giải phỏp “phỏt hành cỏc CRL định kỳ” là hệ thống sử dụng chứng chỉ cú thể tỡm kiếm cỏc CRL từ một danh bạ khi nú cần. Đụi khi, giải phỏp này cũn được gọi là một giải phỏp “kộo” (pull).

Một giải phỏp phõn phối lựa chọn là giải phỏp “đẩy” (push), trong đú CA quảng bỏ CRL cho cỏc hệ thống sử dụng chứng chỉ. Việc quảng bỏ này cần sử dụng cỏc phương tiện truyền thụng cú bảo vệ như thư điện tử an toàn hoặc một giao thức

giao dịch được bảo vệ, bởi vỡ cỏc đối tượng tấn cụng cú thể chặn và xoỏ bỏ cỏc thụng bỏo về sự thu hồi. Thuận lợi chớnh của giải phỏp "đẩy" chớnh là cỏc thu hồi thiết yếu hơn (vớ dụ do lộ khoỏ hoặc do lỗi của CA) cú thể được thụng bỏo một cỏch nhanh nhất mà khụng cần để ý đến thời gian định kỳ.

2.4.4.4 Sự huỷ bỏ ngay lập tức

Một mối quan tõm thường xuyờn đối với giải phỏp "phỏt hành cỏc CRL định kỳ" là cỏc hệ thống sử dụng chứng chỉ khụng thể chấp nhận sự chậm trễ cỏc thụng bỏo thu hồi vỡ lý do thời gian định kỳ. Tuỳ thuộc vào mụi trường ứng dụng, sẽ cú nhiều thiệt hại nếu khoỏ bị lộ trong một ngày. Đỳng ra, thụng tin về một chứng chỉ bị thu hồi cú giỏ trị ngay lập tức đối với người sử dụng chứng chỉ khi anh ta muốn sử dụng chứng chỉ đú. Vỡ vậy, cỏc cỏch thu hồi ngay lập tức cũng được quan tõm. Với việc kiểm tra thu hồi trong thời gian thực (real-time revocation checking) và kiểm tra tỡnh trạng trực tuyến (online status checking), một hệ thống sử dụng khoỏ cụng khai muốn xỏc nhận thời gian hợp lệ của một chứng chỉ (sử dụng trong một giao dịch trực tuyến với một mỏy chủ đang liờn kết với CA phỏt hành). Cuộc giao dịch sẽ trả lại một thụng bỏo về tỡnh trạng thu hồi hiện thời của chứng chỉ. Nú phải được tiến hành an toàn, đảm bảo được tớnh đỳng lỳc và nguồn của nú cho hệ thống sử dụng khoỏ cụng khai. Cỏc yờu cầu đặc thự này cú trong từng cuộc giao dịch, khi CA sinh một chữ ký số và khi hệ thống sử dụng khoỏ cụng khai kiểm tra chữ ký số này. CA phải thực hiện cỏc dịch vụ trực tuyến cú giỏ trị cao, tiếp cận được tất cả những người sử dụng và dịch vụ này phải được thực hiện trong một mụi trường an toàn.

Kiểm tra thu hồi trong thời gian thực cú thể hiệu quả trong một số mụi trường, đặc biệt trong cỏc cộng đồng khộp kớn gồm cỏc chủ thể và những người sử dụng khoỏ cụng khai. Chi phớ cũng cần được quan tõm. Chi phớ mua và hoạt động của cỏc mỏy chủ trực tuyến tin cậy cú thể rất cao. Dễ nhận thấy rằng, một mỏy chủ như vậy cần tạo ra chữ ký số cho mỗi cuộc giao dịch hỏi đỏp và cỏc tài nguyờn cần cho quỏ trỡnh xử lý mật mó cú thể rất đắt. Chi phớ hoạt động cho một mỏy chủ an toàn (gồm cả chi phớ thiết lập tất cả cỏc kiểm soỏt an toàn cần thiết) cũng rất cao.

ở đõy cú bao nhiờu giải phỏp thu hồi khỏc cú thể giỳp chỳng ta đạt được mục đớch "thu hồi ngay lập tức" mà khụng phải chịu cỏc chi phớ trong giải phỏp kiểm tra thu hồi trong thời gian thực? Sau đõy cú một số giải phỏp cú thể, được đề xuất từ cỏc nguồn khỏc nhau:

chứng chỉ bị thu hồi; Giải phỏp này rất dễ thực hiện nhưng lại khụng an toàn do cỏc mỏy chủ danh bạ và việc truyền thụng với cỏc mỏy chủ danh bạ này khụng đủ tin cậy. Vớ dụ, một đối tượng truy nhập trỏi phộp cú thể chốn một bản sao của chứng chỉ cũ vào kờnh truyền thụng trong một giao dịch với mỏy chủ thư mục, ngay cả khi chứng chỉ này đó bị thu hồi. Hơn nữa, việc phõn phối cỏc chứng chỉ khụng cần cỏc giao thức đặc biệt, thụng thường chỳng được phõn phối bằng cỏch gắn vào cỏc thụng bỏo được ký, cỏc thụng bỏo này yờu cầu phải sử dụng khoỏ được chứng thực trong cỏc quỏ trỡnh kiểm tra.

(b)Mỏy chủ hoặc danh bạ lưu giữ chứng chỉ tin cậy (Trusted certificate server or directory): Để tăng cường cho giải phỏp (a), chỳng ta cần đảm bảo rằng mỏy chủ lưu giữ chứng chỉ được thiết lập như một hệ thống tin cậy và đỏp ứng giao dịch (được mỏy chủ này ký số) và cú gắn thờm một tem thời gian. Vớ dụ, một giao dịch Web cú thể được sử dụng, trong đú SSL quy định phải bảo vệ đỏp ứng giao dịch theo yờu cầu. Như một sự lựa chọn, cỏc giao thức của danh bạ X.500 chứa một đặc tớnh tuỳ chọn, được sử dụng để bảo vệ đỏp ứng giao dịch. Cú thể sử dụng cỏch này để thu được sự thu hồi ngay lập tức. Nú quy định cho tất cả cỏc mỏy chủ và mỏy khỏch cú thiết lập giao thức bảo vệ, hay cỏc hệ thống sử dụng chứng chỉ cú sự tin cậy, vỡ vậy danh bạ hay cỏc mỏy chủ lưu giữ chứng chỉ hoạt động tuỳ thuộc vào cỏc điều kiện tin cậy và theo chớnh sỏch của CA. Giải phỏp này khụng thể thoả món tất cả cỏc yờu cầu, ớt nhất về yờu cầu giỏ cả, nú tốn kộm ngang với giải phỏp kiểm tra huỷ bỏ trong thời gian thực.

(c)Chu kỳ phỏt hành cỏc CRL đủ nhỏ (Fine granularity periodic CRLs): Như đó biết, CA quyết định chu kỳ phỏt hành của cỏc CRL, cú thể khởi tạo khoảng thời gian này vừa đủ ngắn nhưng cỏc thụng bỏo thu hồi vẫn kịp thời sử dụng giải phỏp CRL cơ bản mà khụng yờu cầu cỏc mỏy chủ tin cậy hoặc cỏc giao thức bảo vệ? Vấn đề chớnh ở đõy khụng phải là tạo chu kỳ phỏt hành CRL một ngày, một giờ hoặc 10 phỳt, mà là quy định rằng cỏc danh sỏch khụng được quỏ lớn (sao cho chi phớ xử lý và truyền thụng cú thể chấp nhận được) và hệ thống danh bạ cú khả năng đỏp ứng được việc phõn phối. Thời gian định kỳ này nờn phự hợp cho nhiều ứng dụng, cú thể tớnh theo giờ hoặc thậm chớ theo ngày nhưng khi một CA thụng bỏo „nghi ngờ lộ khoỏ‟ thỡ chu kỳ phỏt hành này trở nờn vụ nghĩa.

Cỏc giải phỏp thu hồi khỏc nhau (với cỏc mức độ trực tiếp khỏc nhau) cú thể cú ứng dụng trong cỏc mụi trường khỏc nhau. Giải phỏp thớch hợp nhất sẽ tuỳ thuộc vào

cỏc rủi ro (được ước tớnh trước) và chi phớ. Cỏc giải phỏp mới vẫn tiếp tục được tỡm kiếm và phỏt triển.

2.4.4.5 Dũng thời gian xử lý thu hồi

Để hiểu được một số cỏc liờn kết giữa cỏc CRL và cỏc vấn đề phỏp lý liờn quan, chỳng ta cú thể xem xột dũng thời gian xảy ra cỏc sự kiện trong hỡnh vẽ 2.7.

Chuỗi sự kiện như sau:

(a)Phỏt hành CRL1: Một CRL được phỏt hành trước khi xảy ra thu hồi.

(b)Sự kiện lộ khoỏ: Một sự kiện xảy ra dẫn đến việc thu hồi, vớ dụ cú một thụng bỏo „nghi ngờ khoỏ riờng bị lộ‟. Khụng nhất thiết phải biết chớnh xỏc thời gian nhưng cần biết khoảng thời gian của sự kiện này. Sự kiện này cú thể xảy ra trước sự kiện (a).

(c)Yờu cầu thu hồi: Một người cú quyền gửi một yờu cầu thu hồi tới cho CA hoặc cơ quan đăng ký địa phương (đại diện cho CA). Sự kiện này cú thể xảy ra trước hoặc sau sự kiện (a).

(d)Thời gian thu hồi: CA chớnh thức chấp nhận thu hồi.

(e)Phỏt hành CRL2: CRL (cú chứa chứng chỉ bị thu hồi) được phỏt hành và cụng bố.

Một chứng chỉ được sử dụng bất kỳ thời gian nào sau khi sự kiện (b) phờ chuẩn một khoỏ cụng khai. Rừ ràng là, thành viờn mà người sử dụng chứng chỉ mong muốn - cú thể khụng kiểm soỏt được khoỏ riờng tương ứng, cú khả năng gõy thiệt hại đỏng kể cho người sử dụng chứng chỉ và/hoặc đối tượng nắm giữ khoỏ cụng khai hợp phỏp (thuờ bao). Để giải quyết được tỡnh trạng này, rủi ro giữa cỏc thành viờn cần được chia nhỏ. Rủi ro lớn nhất nờn để thành viờn cú khả năng kiểm soỏt tốt nhất chống đỡ. Để thực hiện được điều này quả là khụng dễ dàng, đặc biệt từ khi tỡnh trạng thay đổi tại cỏc thời điểm khỏc nhau (cỏc điểm này đó được chỉ rừ

Phát hành CRL1 Yêu cầu huỷ bỏ Phát hành CRL2 Sự kiện lộ khoá Thời gian huỷ bỏ (a) (b) (c) (d) (e)

trong dũng thời gian). Vớ dụ, sự thu hồi liờn quan đến khoỏ riờng bị lộ. Cỏc phõn nhỏnh trong cỏc giai đoạn khỏc nhau cú thể là:

Giai đoạn (b)-(c): Tỡnh trạng lộ khoỏ xảy ra nhưng CA khụng được thụng bỏo. Người sử dụng chứng chỉ khụng thể trụng chờ để biết tỡnh trạng lộ khoỏ. Thuờ bao cú thể biết hoặc khụng biết điều này. Đõy cú thể là lý do để thuờ bao phải chịu rủi ro lớn (do bị lạm dụng khoỏ riờng) trong giai đoạn này.

Giai đoạn (c)-(d): Tỡnh trạng lộ khoỏ được thụng bỏo nhưng CA khụng gửi đi một thu hồi nào. Người sử dụng chứng chỉ khụng thể trụng chờ để biết điều này. Đõy cú thể là lý do CA phải chịu rủi ro lớn (do bị lạm dụng khoỏ riờng) trong giai đoạn này.

Giai đoạn (d)-(e): Thụng bỏo thu hồi chớnh thức được gửi đi nhưng người sử dụng chứng chỉ cú thể khụng cú cỏch nào biết được sự thu hồi này. Tỡnh trạng chia nhỏ rủi ro sẽ phụ thuộc vào việc sử dụng giải phỏp thu hồi nào (và cú thể được thoả thuận giữa cỏc thành viờn). Khi phỏt hành cỏc CRL định kỳ, người sử dụng chứng chỉ sẽ khụng biết cú sự thu hồi cho đến khi CRL2 được phỏt hành. Do cú thu hồi trực tiếp, nờn đõy cú thể là lý do ta muốn người sử dụng chứng chỉ biết được sự thu hồi trong giai đoạn này. Đõy cú thể là mối quan tõm hàng đầu của người sử dụng chứng chỉ - chờ cho đến khi CRL2 được phỏt hành mới tiến hành giao dịch hỏi đỏp cú sử dụng khoỏ.

Giai đoạn sau (e): Lỳc này, CA đó hoàn thành trỏch nhiệm của mỡnh trong việc thụng bỏo cỏc thụng tin về sự thu hồi. Do người sử dụng chứng chỉ cú thể sử dụng một chứng chỉ đó bị thu hồi trong giai đoạn này, nờn cần gắn

Một phần của tài liệu (LUẬN văn THẠC sĩ) hạ tầng cơ sở khóa công khai và ứng dụng trong giao dịch điện tử trên mạng luận văn ths công nghệ thông tin 1 01 10 (Trang 54 - 61)

Tải bản đầy đủ (PDF)

(96 trang)