2.3. HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI)
2.3.4. Các đối tƣợng cơ bản của hệ thống PKI
Dƣới góc độ các hoạt động quản lý hệ thống PKI, những đối tƣợng tham gia vào hệ thống PKI bao gồm: các đối tượng sử dụng (EE), các đối tượng quản lý chứng chỉ số (CA), các đối tượng quản lý đăng ký (RA), và các hệ thống lưu trữ. [13], [14].
2.3.4.1. Chủ thể và các đối tượng sử dụng
Khái niệm chủ thể đƣợc sử dụng để chỉ đối tƣợng đƣợc ghi tên trong trƣờng
subject của một chứng chỉ số. Tuy nhiên, để tránh nhầm lẫn chủ thể với tên một trƣờng của chứng chỉ số, ta nên dùng cụm từ đối tượng sử dụng. Ta cần lƣu ý: Một chủ thể có thể là một CA hoặc một EE, đây là do đặc tính của quá trình cấp phát chứng chỉ số. Chứng chỉ số có thể đƣợc cấp cho CA hoặc EE. Tuy nhiên, ta chỉ gọi các EE là đối tƣợng sử dụng vì chỉ những thẻ cấp cho đối tƣợng loại này mới đƣợc sử dụng trực tiếp trong các dịch vụ an toàn an ninh. Chứng chỉ số cấp cho các CA chủ yếu đƣợc dùng để hình thành mối tin cậy giữa chúng.
Có một điều quan trọng mà ta cần lƣu ý là khái niệm đối tƣợng sử dụng không chỉ bao hàm những ngƣời sử dụng các dịch vụ mà còn là chính bản thân các dịch vụ đó. Đây là một điều hiển nhiên bởi vì các trình ứng dụng an toàn an ninh đƣợc đề cập đến ở đây là những dịch vụ dựa trên chứng chỉ số. Điều này sẽ ảnh hƣởng đến những giao thức mà các hoạt động của hệ thống PKI sử dụng. Ví dụ, một phần mềm ứng dụng có thể biết chắc những trƣờng mở rộng nào của một chứng chỉ số là cần thiết trong khi một ngƣời sử dụng phần mềm đó thì lại hầu nhƣ không biết về những thông tin này. Trong một số trƣờng hợp cho phép, ta có thể coi các đối tƣợng sử dụng là những đối tƣợng không thuộc loại các đối tƣợng quản lý hệ thống PKI.
Tất cả các đối tƣợng sử dụng ít nhất phải có khả năng quản lý và truy cập một cách an toàn đến các thông tin sau:
- Tên của chính đối tƣợng đó. - Khóa riêng của đối tƣợng đó.
- Tên của CA đƣợc chính đối tƣợng này tin tƣởng (trusted CA). - Khóa công khai của CA này.
Trong quá trình triển khai, các đối tƣợng sử dụng những phƣơng tiện lƣu trữ an toàn để lƣu các thông tin ngoài những thông tin tối thiểu kể trên (chứng chỉ số của đối tƣợng, các thông tin cho các dịch vụ cụ thể). Việc lƣu trữ thông tin dƣới hình thức nhƣ trên đƣợc gọi là môi trƣờng an toàn cá nhân.
2.3.4.2. Đối tượng quản lý chứng chỉ số
Đối tƣợng quản lý chứng chỉ số (CA) không nhất thiết phải là một bên thứ ba thực sự nếu xét dƣới góc độ của các đối tƣợng trong một tổ chức. Nghĩa là, CA thực chất lại thuộc về cùng một tổ chức chứa các đối tƣợng sử dụng mà nó hỗ trợ. Ngoài ra, ta cũng sử dụng khái niệm CA để chỉ đối tƣợng đƣợc nêu tên trong trƣờng issuer của chứng chỉ số.
Khi cần phân biệt phần mềm hoặc các công cụ phần cứng đƣợc sử dụng bởi CA ta sử dụng khái niệm công cụ của CA. Khái niệm này bao hàm các thành phần làm việc theo cả chế độ off-line lẫn on-line. Trong đó, chỉ có thành phần off-line là biết đƣợc khóa riêng của CA.
Ta sử dụng khái niệm CA gốc để chỉ một CA đƣợc một đối tƣợng sử dụng nào đó đƣợc tin cậy một cách trực tiếp. Ta hiểu khái niệm trực tiếp có nghĩa là việc tin cậy có thể đƣợc đảm bảo mà không cần thêm một CA nào nữa. Nói cách khác, đây là CA cuối cùng trên nhánh xác thực. Khi đó, việc lấy thông tin về khóa công khai của CA gốc cần phải đƣợc thực hiện thông qua những phương thức riêng, nghĩa là việc trao đổi thông tin không đƣợc thực hiện trên đƣờng truyền thông dùng để truyền các chứng chỉ số. Ở đây có thể sử dụng những phƣơng pháp phân phát thông tin dựa trên giấy tờ và thƣ tín. Ta cũng cần lƣu ý một điều là CA gốc không nhất thiết phải nằm trên đỉnh của một cây phân cấp biểu diễn hệ thống. Điều cần quan tâm là CA gốc đƣợc tin cậy trực tiếp bởi một hoặc một số đối tƣợng sử dụng.
Một CA thứ cấp nếu xét trên phƣơng diện của các đối tƣợng sử dụng thì là bất kỳ CA nào khác với CA gốc. Thông thƣờng, một CA thứ cấp sẽ không là CA gốc của bất kỳ đối tƣợng sử dụng nào. Tuy nhiên, điều này không phải là hoàn toàn bắt buộc.
2.3.4.3. Đối tượng quản lý đăng ký chứng chỉ số
Tổ chức quản lý đăng ký chứng chỉ số là RA. Trong nhiều môi trƣờng hoạt động, việc tách riêng RA khỏi CA là một việc cần thiết. RA có thể có một số chức năng nhƣ sau:
Xác thực cá nhân.
Phân phát các chứng chỉ số. Thông báo hủy bỏ.
Gán tên cho các đối tƣợng. Sinh khóa.
Lƣu trữ các cặp khóa riêng và khóa công khai.
RA có thể đƣợc coi là một thành phần không bắt buộc. Tuy nhiên, khi RA đứng độc lập thì CA phải đảm nhận những chức năng trên. Nghĩa là các chức năng mà CA có đƣợc cho các đối tƣợng phải giống nhƣ trong trƣờng hợp CA và RA đứng độc lập.
Về bản chất, RA cũng là một đối tƣợng sử dụng. Tất cả các RA đều đƣợc xác thực và có các khóa riêng dùng trong việc tạo chữ ký số cho các thông tin mà nó cấp phát. Trong một số trƣờng hợp, các đối tƣợng sử dụng có thể liên hệ trực tiếp với CA quản lý mình mặc dù trong hệ thống vẫn có mặt RA. Ví dụ, trong các thủ tục đăng ký và xác thực ban đầu, nó phải liên hệ trực tiếp với CA để cập nhật thông tin về chứng chỉ số của mình.
2.3.5. Các hoạt động cơ bản trong hệ thống PKI
2.3.5.1. Mô hình tổng quát của hệ thống PKI
Trong sơ đồ dƣới đây là các đối tƣợng của hệ thống PKI và mối quan hệ giữa chúng trên cơ sở các hoạt động quản lý PKI. Mối liên hệ đƣợc thể hiện bằng các thông điệp đƣợc truyền đi giữa các đối tƣợng trong hệ thống. [13],[14]
RA
§¨ng t¶i chứng chỉ số
Thu thËp th«ng tin "out-of-band" §¨ng ký/x¸c thùc ban ®Çu
Kh«i phôc cÆp kho¸ CËp nhËt cÆp kho¸ CËp nhËt chứng chỉ số
Yªu cÇu huû bá
Ph¸t hµnh chứng chỉ số danh s¸ch chứng chỉ số cÇn huû bá Ph¸t hµnh chứng chỉ số Ph¸t hµnh th«ng tin "out-of-band" X¸c nhËn ngang hµng CËp nhËt chứng chỉ số ngang hµng §èi tîng sö dông HÖ thèng lưu tr÷ CA1 CA2
Hình 2.20 : Các đối tƣợng và hoạt động cơ bản trong hệ thống PKI
Dựa trên các thông điệp đƣợc định nghĩa (sẽ đƣợc trình bày chi tiết trong các phần sau) và xét ở một mức khái quát, các hoạt động của hệ thống quản lý PKI có thể đƣợc phân thành các nhóm sau.
2.3.5.2. Thiết lập các chứng chỉ số
Các chứng chỉ số đƣợc tạo ra trên cơ sở một số thông tin cơ bản (đối tƣợng phát hành, đối tƣợng sử dụng, thuật toán tạo chữ ký số, thời hạn lƣu hành…) và một số thông tin mở rộng. Song song với quá trình tạo ra một chứng chỉ số mới, ta cũng cần tiến hành một số bƣớc phụ trợ. Ta có thể kể đến việc tạo lập hoặc cập nhật danh sách các thẻ bị hủy bỏ, việc đăng tải thông tin về khóa công khai của CA, lƣu chứng chỉ số vừa tạo đƣợc….
2.3.5.3. Khởi tạo các EE (End Entity)
Quá trình này đòi hỏi một số bƣớc cơ bản nhƣ sau: Trƣớc tiên, đối tƣợng này phải thu thập đƣợc thông tin về khóa công khai của CA gốc. Điều này giúp cho các thông điệp đƣợc truyền đi giữa đối tƣợng đó và CA gốc đƣợc đảm bảo an toàn và cũng là một phƣơng thức để xác thực EE Sau đó, EE phải thu thập thông tin về các tùy chọn đƣợc hỗ trợ bởi đối tƣợng quản lý PKI. Điều này rất quan trọng vì nó ảnh hƣởng đến giao thức hoạt động và các thông điệp mà EE truyền đi hay nhận về.
2.3.5.4. Các hoạt động liên quan đến chứng chỉ số
Có nhiều hoạt động liên quan tới chứng chỉ số và đƣợc phân thành:
- Đăng ký và xác thực ban đầu
Trong quá trình này, trƣớc tiên, EE phải thông báo cho CA hoặc RA biết về sự hiện diện của mình trong hệ thống. Đối tƣợng đƣợc thông báo có quyền ƣu tiên cao hơn là CA sẽ cấp phát cho EE này một chứng chỉ số khi nó chấp nhận yêu cầu. Kết quả của quá trình này là một CA sẽ tạo ra một chứng chỉ số cho EE ứng với khóa công khai mà EE này cung cấp khi đăng ký. Đồng thời, CA này cũng gửi chứng chỉ số này đến cho hệ thống lƣu trữ. Trong một hệ PKI lớn, hệ thống lƣu trữ có vai trò quan trọng và có tính độc lập cao đối với CA.
Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bƣớc nhỏ hơn. Có thể, nó sẽ bao gồm cả công đoạn khởi tạo các công cụ của EE. Ví dụ, để có thể đƣợc sử dụng trong công đoạn kiểm chứng đƣờng dẫn đến các chứng chỉ số, các công cụ của EE phải đƣợc khởi tạo một cách an toàn với khóa công khai của một CA nào đó. Ngoài ra, một EE còn cần phải đƣợc khởi tạo với cặp khóa của chính nó.
- Cập nhật thông tin về cặp khóa
Mỗi đối tƣợng tham gia vào hệ thống PKI đều phải có một cặp khóa gồm khóa khóa công khai và khóa riêng. Tất cả các cặp khóa này cần phải đƣợc cập nhật một cách thƣờng xuyên vì các cặp khóa này có thể đƣợc thay bằng cặp khóa mới. Việc thay đổi thông tin của các cặp khóa này có thể là do chúng đã hết hạn sử dụng hoặc đã bị lộ.
Nhƣ vậy, để đảm bảo tất cả các đối tƣợng có liên quan nắm đƣợc thông tin mới nhất về cặp khóa của mình, đối tƣợng sở hữu cặp khóa phải tạo các thông điệp cập nhật cặp khóa để gửi đến cho các đối tƣợng có liên quan.
- Cập nhật thông tin về chứng chỉ số
Mỗi chứng chỉ số đƣợc cấp phát cho các đối tƣợng sử dụng chỉ có tác dụng trong một khoảng thời gian đã định. Khi các chứng chỉ số này hết hạn và đối tƣợng sử dụng muốn tiếp tục có đƣợc chứng chỉ số của mình thì CA quản lý đối tƣợng ấy sẽ tạo ra một chứng chỉ số mới cho đối tƣợng và phải làm nhiệm vụ cập nhật thông tin về chứng chỉ số này. Trong trƣờng hợp không có sự thay đổi nào về các tham số môi trƣờng của hệ thống PKI, các CA có thể chỉ cần “làm tƣơi” các chứng chỉ số này.
- Cập nhật thông tin về cặp khóa của CA
Cũng giống nhƣ đối với các EE, cặp khóa của CA cũng cần đƣợc cập nhật thƣờng xuyên. Tuy nhiên, do vai trò và các mối liên hệ của CA trong hệ thống có nhiều khác biệt và phức tạp hơn nên ta cần phải có những cơ chế thích hợp để thực hiện công việc này. Ví dụ, CA phải gửi đƣợc thông tin về cặp khóa công khai của mình tới tất cả các EE mà nó quản lý theo kiểu multicast. Ngoài ra, nó còn phải gửi thông tin này đến các CA khác có liên quan.
- Yêu cầu xác thực ngang hàng
Khi diễn ra quá trình trao đổi thông tin giữa các CA ngang hàng, một CA có thể sẽ yêu cầu CA còn lại gửi cho mình một chứng chỉ số ngang hàng. Chứng chỉ số ngang hàng này về bản chất cũng giống với các chứng chỉ số dành cho các EE. Trƣờng
subject của chứng chỉ số ngang hàng dùng để chỉ CA đƣợc cấp thẻ còn trƣờng issuer
đƣợc dùng để chỉ CA cấp phát thẻ.
Trong các loại chứng chỉ số ngang hàng, ta phân ra làm hai loại nhƣ sau: Nếu hai CA thuộc về vùng quản lý khác nhau, ta có chứng chỉ số ngang hàng liên miền. Nếu hai CA thuộc cùng một vùng quản lý thì ta gọi đó là chứng chỉ số ngang hàng nội miền.
Đối với các chứng chỉ số ngang hàng, ta có một số chú ý sau:
Trong nhiều hệ thống PKI, nếu không có những định nghĩa chi tiết hơn, các chứng chỉ số ngang hàng thƣờng đƣợc hiểu là chứng chỉ số ngang hàng liên miền.
Việc phát hành các chứng chỉ số ngang hàng không nhất thiết phải đƣợc tiến hành ở cả hai CA. Nghĩa là có cả trƣờng hợp một CA đƣợc xác thực bởi một CA khác mà không có theo chiều ngƣợc lại.
- Cập nhật chứng chỉ số ngang hàng
Việc cập nhật chứng chỉ số ngang hàng cũng giống với việc cập nhật chứng chỉ số cho các đối tƣợng sử dụng. Tuy nhiên, các đối tƣợng có liên quan đến quá trình này chỉ là các CA.
- Phát hành thẻ và danh sách thẻ bị hủy bỏ
Có những hoạt động của hệ thống quản lý PKI sẽ dẫn đến việc tạo ra các chứng chỉ số hoặc danh sách các chứng chỉ số bị hủy bỏ. Ta có hai hoạt động tiểu biểu thuộc loại này là: phát hành chứng chỉ số và phát hành danh sách chứng chỉ số bị hủy bỏ.
Khi CA phát hành một chứng chỉ số, trƣớc tiên, nó cần phải dựa trên định dạng của chứng chỉ số cần cấp. Sau khi có đƣợc các thông tin về chính sách quản trị, CA sẽ tổ chức chúng theo định dạng đã biết, khi đó, chứng chỉ số đã hoàn thiện. Tuy nhiên, việc phát hành chứng chỉ số chỉ hoàn tất sau khi CA gửi thông tin về chứng chỉ số này đến đối tƣợng sử dụng và lƣu thẻ này vào hệ thống lƣu trữ.
Việc phát hành danh sách chứng chỉ số bị hủy bỏ cũng đƣợc tiến hành nhƣ với danh sách chứng chỉ số. Tuy nhiên, thông tin về danh sách này chỉ đƣợc truyền cho hệ thống lƣu trữ.
- Các hoạt động phục hồi
Các hoạt động phục hồi đƣợc thực hiện khi các đối tƣợng sử dụng đánh mất thông tin mà nó lƣu trữ. Ví dụ, nhƣ đã nêu ở phần trên, các đối tƣợng sử dụng có thể có một số phƣơng tiện lƣu trữ an toàn cá nhân; khi phƣơng tiện lƣu trữ này bị hỏng thì nó cần phải nhờ đến CA để phục hồi các thông tin bị mất.
Việc phục hồi thông tin chủ yếu đƣợc tập trung vào việc phục hồi các cặp khóa. Đối với các CA và RA, việc lƣu trữ thông tin backup về khóa của các đối tƣợng là không bắt buộc. Khi các đối tƣợng sử dụng cần phục hồi các cặp khóa của mình, ta cần phải có thêm một số giao thức chuyển đổi để hỗ trợ việc phục hồi khóa.
- Các hoạt động hủy bỏ
Có một số hoạt động quản lý hệ thống PKI dẫn đến việc tạo một danh sách chứng chỉ số sẽ đƣợc hủy bỏ hoặc bổ sung những thẻ cần đƣợc hủy bỏ vào danh sách này. Ví dụ, một đối tƣợng đã đƣợc phân quyền trong hệ thống có thể thông báo cho CA về một trạng thái không bình thƣờng và cần phải có một số yêu cầu hủy bỏ chứng chỉ số. Cụ thể, nếu ta phát hiện đƣợc một đối tƣợng đã đăng ký để lấy chứng chỉ số có những biểu hiện không bình thƣờng hoặc những thông tin do đối tƣợng này có một số bất hợp lý thì ta có thể báo cho CA biết và hủy bỏ chứng chỉ số đã cấp cho đối tƣợng sử dụng đó.
Đối với tất cả các hoạt động đã nêu trên, ta có một số lƣu ý sau: Các giao thức làm việc theo chế độ on-line không phải là giải pháp duy nhất để thực hiện các hoạt động trên. Đối với tất cả các giao thức hoạt động theo chế độ on-line, ta đều có một phƣơng thức hoạt động theo chế độ off-line cho kết quả tƣơng đƣơng.
2.3.6 Những vấn đề cơ bản trong xây dựng hệ thống CA
2.3.6.1. Các mô hình triển khai hệ thống CA
Hệ thống CA khi đƣợc triển khai ở bất kỳ phạm vi nào đều cần có một kiến