2.4 CÁC CHỨC NĂNG CHUNG NHẤT CỦA PKI
2.4.3 Phân phối chứng chỉ
Để mã hoá dữ liệu cho một thành viên từ xa, hoặc để một thành viên từ xa có thể kiểm tra một chữ ký số, một người sử dụng cần có bản sao chứng chỉ, từ đó có được khoá công khai của thành viên ở xa, các chứng chỉ của một CA bất kỳ phải tạo thành một đường dẫn chứng thực đầy đủ. Lưu ý rằng, đây không hoàn toàn là một vấn đề an toàn mà là vấn đề phổ biến dữ liệu, chứng chỉ không cần chuyển giao thông qua các hệ thống hoặc các giao thức an toàn bởi vì chứng chỉ tự bảo vệ. Mục này sẽ trình bày một số cách phân phối chứng chỉ khác nhau.
2.4.3.1 Chứng chỉ kèm theo chữ ký
Với một chữ ký số, chúng ta có nhiều cách phân phối chứng chỉ thích hợp. Nói chung, người ký sẽ có một bản sao chứng chỉ của mình và gắn kèm bản sao này với chữ ký số. Nếu thực hiện được điều này, bất cứ người nào muốn kiểm tra chữ ký phải có chứng chỉ trong tay. Tương tự, người ký có thể gắn kèm các chứng chỉ khác, chúng có thể cần cho việc phê chuẩn chứng chỉ của người ký. Ví dụ như các chứng chỉ dành cho CA của người ký nhưng lại do các CA khác phát hành. Hầu hết các giao thức truyền thông có sử dụng chữ ký số thường gắn kèm các chứng chỉ vào các chữ ký số theo cách này.
Việc gắn kèm các chứng chỉ vào các chữ ký số có thể gây lãng phí trong truyền thông và lãng phí khả năng lưu giữ vì người kiểm tra chữ ký có thể đã có chứng chỉ cần thiết trong tay (chứng chỉ này được lưu giữ cục bộ). Chính vì lý do này, người ký tự lựa chọn, nên hay không nên gắn kèm các chứng chỉ.
Tương tự, người ký sẽ không biết chính xác người kiểm tra sẽ cần một hay nhiều chứng chỉ, cho nên sẽ tồn tại nhiều đường dẫn chứng thực đi từ những người kiểm tra khác nhau đến một người ký. Do vậy việc người ký phải đảm bảo rằng tất cả các chứng chỉ yêu cầu được gắn kèm vào một chữ ký là không thực tế. Do vậy, người kiểm tra cần một giải pháp lưu trữ để lấy lại các chứng chỉ bị thất lạc, ví dụ như là một danh bạ hoặc kho chứa.
2.4.3.2 Phân phối thông qua dịch vụ thư mục
Khi sử dụng kỹ thuật khoá công khai để mã hoá một thông báo, trước tiên người khởi tạo thông báo lấy các khoá công khai đã được chứng thực của tất cả những người nhận. Anh ta có được nó có thể do tình cờ có được từ các bản sao của chứng chỉ khoá công khai được yêu cầu lưu giữ cục bộ. Nhưng trong trường hợp tổng quát, anh ta phải tìm kiếm các chứng chỉ cần thiết. Để giải quyết vấn đề này, một dịch vụ danh bạ công cộng hoặc kho lưu giữ (có thể phân phối các chứng chỉ) là đặc biệt thích hợp. Người khởi tạo thông báo lấy lại chứng chỉ của một người nhận thông qua một thư mục, có thể kết hợp với việc lấy thông tin, ví dụ như địa chỉ thư tín điện tử của người nhận.
Một kỹ thuật dịch vụ danh bạ trực tuyến toàn diện đã và đang được phát triển thông qua các quá trình chuẩn hoá của Liên minh Viễn thông Quốc tế (ITU) và Tổ chức tiêu chuẩn hoá Quốc tế (IOS). Các chuẩn danh bạ được ITU thiết kế là X.500. Chuẩn X.500 này cung cấp cơ sở cho việc xây dựng một dịch vụ danh bạ phân tán đa mục đích bằng cách liên kết các hệ thống máy tính thuộc quyền sở hữu của các nhà cung cấp dịch vụ, các chính phủ và các tổ chức tư nhân trên phạm vi toàn cầu. Nhiều ứng dụng lớn có thể được hỗ trợ, từ tìm kiếm đơn giản tên đến địa chỉ, duyệt qua hoặc tìm kiếm với khoá thuộc tính. Danh bạ X.500 có thể là một nguồn thông tin cho tất cả mọi người, cho các thành phần của mạng truyền thông, cho các ứng dụng máy tính, hoặc cho các hệ thống tự động khác. Ví dụ, cho những người dùng của mạng máy tính, chức năng tìm kiếm tên của một người có thể đưa ra các thông tin như số điện thoại, địa chỉ thư tín điện tử và các thông tin chi tiết về các giao thức của ứng dụng được thiết bị của người này hỗ trợ.
Ngay từ đầu người ta đã nhận ra xu hướng sử dụng các danh bạ X.500 cho việc phân phối các chứng chỉ khoá công khai. Do đó, các chuẩn chứa đầy đủ các đặc tính của các mục dữ liệu được yêu cầu cho X.500, kết hợp với việc mô tả mức cao các thủ tục quản lý.
Nói chung, sự chấp nhận X.500 trên thị trường chậm hơn nhiều so với mong đợi. Do quá phức tạp, nó không tồn tại cho đến giữa những năm 1990. Như vậy, cần chọn lựa hợp lý các sản phẩm có chất lượng. Hơn nữa, các nhà cung cấp dịch vụ không chấp nhận việc liên kết các danh bạ trực tuyến của họ, lý do là việc liên kết này cho phép các đối tượng cạnh tranh có cơ hội truy nhập trực tiếp vào danh sách thuê bao của họ. Tuy vậy, X.500 đang được đẩy mạnh phát triển trong các công ty lớn và một số tổ chức đang tìm kiếm các cách phân phối chứng chỉ khoá công khai.
Các hệ thống danh bạ độc quyền cũng được sử dụng để phân phối các chứng chỉ khoá công khai trong các môi trường phần mềm riêng; Ví dụ như các danh bạ Microsoft Exchange, Lotus Notes và Netware Directory Service.
LDAP là một giao thức truy nhập danh bạ nhanh, tương thích với mô hình danh bạ X.500. LDAP đơn giản hơn nhiều và bổ sung thuận tiện hơn các giao thức của X.500. LDAP tạo thành một giao thức chuẩn hữu ích cho việc truy nhập vào các thông tin được lưu giữ trong một thư mục, bao gồm cả các chứng chỉ khoá công khai. Lưu ý rằng, LDAP không cần đến cơ sở dữ liệu danh bạ cơ bản phụ thuộc vào kỹ thuật riêng biệt bất kỳ.
2.4.3.3 Các giải pháp phân phối khác
ở đây có một số cách khác dùng cho việc phân phối các chứng chỉ. Như đã trình bày ở trên, các chứng chỉ không cần được bảo vệ đặc biệt và nó được phân phối thông qua các hệ thống không cần tin cậy và sử dụng các giao thức không an toàn. Ngay sau khi các chuẩn thích hợp và các quy ước được thiết lập, Web là một cách để phổ biến các chứng chỉ từ các máy chủ chuyên dụng. Các chứng chỉ được sử dụng lặp đi lặp lại nhiều lần cũng thường được lưu giữ cục bộ trong các hệ thống sử dụng các khoá công khai.