2.2 PHÂN PHỐI KHÓA CÔNG KHAI
2.2.4 Chứng chỉ khoá công khai
Lược đồ trong hỡnh 2.3 rất hấp dẫn nhưng nú cũng cú một số nhược điểm. Cơ quan quản lý khoỏ cụng khai gần giống như một cổ chai trong hệ thống. Người sử dụng phải yờu cầu cơ quan quản lý cấp khoỏ cụng khai cho người sử dụng khỏc khi họ muốn liờn lạc. Như đó trỡnh bày từ trước, cơ quan quản lý duy trỡ danh bạ (mỗi đầu vào bao gồm tờn và khoỏ cụng khai) - đõy cũng là chớnh là điểm yếu dễ bị giả mạo. Một giải phỏp lựa chọn là sử dụng chứng chỉ. Cỏc thành viờn sử dụng chứng chỉ này để trao đổi khoỏ mà khụng cần liờn lạc với cơ quan quản lý khoỏ cụng khai. Mỗi chứng chỉ chứa một khoỏ cụng khai và cỏc thụng tin khỏc. Nú được một cơ quan quản lý chứng chỉ tạo ra và phỏt hành cho cỏc thành viờn. Một thành viờn chuyển thụng tin khoỏ của mỡnh cho thành viờn khỏc thụng qua cỏc chứng chỉ. Cỏc thành viờn khỏc cú thể kiểm tra chứng chỉ do cơ quan quản lý tạo ra.
Chỳng ta cú thể đưa vào lược đồ này cỏc yờu cầu như sau:
1. Một thành viờn cú thể đọc chứng chỉ để xỏc định tờn và khoỏ cụng khai của người sở hữu chứng chỉ.
2. Mọi thành viờn cú thể kiểm tra: nguồn gốc của chứng chỉ và nú cú bị giả mạo khụng.
3. Chỉ cú cơ quan quản lý chứng chỉ mới cú thể tạo ra và cập nhật cỏc chứng chỉ. Và một yờu cầu được bổ sung thờm như sau:
- Mọi thành viờn cú thể kiểm tra sự lưu hành của chứng chỉ.
Cú nhiều kiểu chứng chỉ được sử dụng cho cỏc mục đớch khỏc nhau. Một trong cỏc kiểu chứng chỉ quan trọng là chứng chỉ khoỏ cụng khai. Trong đú, khoỏ cụng khai được gắn kết chặt chẽ với một cỏ nhõn, một thiết bị, hoặc một thực thể riờng biệt. Chứng chỉ khoỏ cụng khai được một cơ quan chứng thực (CA) ký. CA chứng thực cỏc thuộc tớnh của chủ thể nắm giữ chứng chỉ khoỏ cụng khai. Chủ thể nắm giữ là một người, thiết bị, hoặc thực thể nào đú, núi chung là đối tượng nắm giữ khoỏ riờng tương ứng. Cỏc thuật ngữ chứng chỉ hay chứng chỉ khúa cụng khai chỉ là một. Một chứng chỉ khoỏ cụng khai đơn giản cú dạng như sau:
Tờn của CA Khoỏ cụng khai
của chủ thể Thụng tin nhận dạng chủ thể Tạo chữ ký số Khoỏ riờng của CA
Chuẩn hoỏ khuụn dạng chứng chỉ là một trong những vấn đề cần giải quyết khi nghiờn cứu xõy dựng cỏc hệ thống PKI. Chuẩn khuụn dạng chứng chỉ X509 V3 là một trong những chuẩn được sự dụng rộng rói nhất hiện nay.
Khuụn dạng chứng chỉ X.509 gồm cú 3 phiờn bản, phiờn bản 1 ra đời vào năm 1988, phiờn bản 2 ra đời vào năm 1993 và phiờn bản 3 ra đời vào năm 1996. Cỏc khuụn dạng của phiờn bản 1 và 2 được trỡnh bày sau đõy, chỳng được sử dụng trong tất cả cỏc bổ sung của X.509 cho đến năm 1996. Cỏc yếu tố cơ bản được trỡnh bày trong hỡnh 2.4.
Cỏc trường của chứng chỉ như sau:
(a)Phiờn bản (Version): Chỉ ra dạng phiờn bản 1, 2, 3.
(b)Số hiệu (Serial Number): Số hiệu nhận dạng duy nhất của chứng chỉ này. Nú được CA phỏt hành gỏn cho.
(c)Tờn thuật toỏn ký (Signature): Tờn thuật toỏn ký được CA sử dụng để ký chứng chỉ
(d)Người phỏt hành (Issuer): Tờn theo chuẩn X.500 của CA phỏt hành
Không có trong phiên bản 1 Sinh chữ ký số Khoá riêng của CA Phiên bản (của khuôn dạng
chứng chỉ) Số hiệu của chứng chỉ
Tên duy nhất của ng-ời phát hành
Chữ ký số của CA Tên duy nhất của chủ thể Thời gian hợp lệ (Ngày/giờ bắt
đầu và kết thúc) Tên thuật toán ký (CA sử dụng để ký lên chứng chỉ)
Tên ng-ời phát hành chứng chỉ (CA) theo chuẩn
X500 Tên chủ thể theo chuẩn X500 Thông tin khoá công khai của chủ thể Tên Ttoán Khoá công khai
Hình 2.4 Khuôn dạng chứng chỉ trong phiên bản 1 và 2 của X.509
(e)Thời gian hợp lệ (Validity): Ngày/giờ cú hiệu lực và hết hạn của một chứng chỉ.
(f) Chủ thể (Subject): Tờn X.500 của đối tượng nắm giữ khoỏ riờng (tương ứng với khoỏ cụng khai được chứng thực).
(g)Thụng tin về khoỏ cụng khai của chủ thể (Subject Public-key Information): Gồm cú khoỏ cụng khai của chủ thể cựng với một tờn thuật toỏn sử dụng khoỏ cụng khai này.
(h)Tờn duy nhất của người phỏt hành (Issuer unique identifier): Là một chuỗi bit tuỳ chọn, được sử dụng để chỉ ra tờn rừ ràng của CA phỏt hành, trong trường hợp cựng một tờn được gỏn cho cỏc thực thể khỏc nhau trong cựng thời gian
(i) Tờn duy nhất của chủ thể (Subject unique identifier): Là một chuỗi bit tuỳ chọn, được sử dụng để chỉ ra tờn rừ ràng của chủ thể, trong trường hợp cựng một tờn được gỏn cho cỏc thực thể khỏc nhau trong cựng thời gian.
Việc sử dụng chứng chỉ rất đơn giản. Khi một người sử dụng đó cú khoỏ cụng khai của CA một cỏch an toàn và tin tưởng CA phỏt hành cỏc chứng chỉ hợp lệ. Nếu người dựng cần khoỏ cụng khai của một trong cỏc thuờ bao của CA này, anh ta cú thể thu được khoỏ cụng khai của thuờ bao đú bằng cỏch lấy từ bản sao chứng chỉ của thuờ bao. Chứng chỉ của thuờ bao cú thể được kiểm tra bằng cỏch kiểm tra chữ ký của CA cú trờn chứng chỉ. Người sử dụng cỏc chứng chỉ theo cỏch này được gọi là một thành viờn tin cậy.
Phõn phối khoỏ cụng khai theo kiểu này tương đối đơn giản và kinh tế khi tiến hành trờn diện rộng và theo hỡnh thức tự động, bởi vỡ một trong cỏc đặc tớnh quan trọng của cỏc chứng chỉ là: "Cỏc chứng chỉ cú thể được phỏt hành mà khụng cần phải bảo vệ thụng qua cỏc dịch vụ an toàn truyền thụng truyền thống để đảm bảo tớnh bớ mật, tớnh xỏc thực và tớnh toàn vẹn.”
Chỳng ta khụng cần giữ bớ mật khoỏ cụng khai, như vậy cỏc chứng chỉ khụng phải giữ bớ mật. Hơn nữa, ở đõy khụng đũi hỏi cỏc yờu cầu về tớnh xỏc thực và toàn vẹn, do cỏc chứng chỉ tự bảo vệ (chữ ký số của CA cú trong chứng chỉ cung cấp bảo vệ xỏc thực và toàn vẹn). Chứng chỉ khụng thể làm giả bởi vỡ người sử dụng chứng chỉ cú thể kiểm tra chớnh xỏc chữ ký số của CA trờn chứng chỉ. Chớnh vỡ vậy, cỏc chứng chỉ được phỏt hành theo cỏc cỏch khụng an toàn, vớ dụ như thụng qua cỏc mỏy chủ, cỏc hệ thống danh bạ và/hoặc cỏc giao thức truyền thụng khụng an toàn. Lợi ớch cơ bản của một hệ thống phõn phối khoỏ cụng khai bằng chứng chỉ là một người sử dụng cú thể cú được một số lượng lớn cỏc khoỏ cụng khai của cỏc thành
viờn khỏc một cỏch đỏng tin cậy, xuất phỏt từ thụng tin khoỏ cụng khai của một thành viờn, đú chớnh là khoỏ cụng khai của CA.