2.3. HẠ TẦNG MẬT MÃ KHÓA CÔNG KHAI (PKI)
2.3.6.2. Những chức năng bắt buộc trong quản lý PKI
Các hoạt động của hệ thống quản lý PKI đã đƣợc mô tả trong phần tổng quan về PKI. Trong phạm trù triển khai hệ thống PKI, ta cần tìm hiểu những chức năng mà hệ quản lý PKI bắt buộc phải có. Mặt khác, để đề ra những phần công việc cần lập trình thực thi trong đồ án thực tập này, ta sẽ lấy những chức năng này làm cơ sở để lập trình thực thi một hệ thống PKI (gồm CA và EE) với các chức năng tối thiểu. Những chức năng bắt buộc đối với hệ thống quản lý PKI gồm có:
1/. Khởi tạo CA gốc
Khi một CA mới tham gia vào hệ thống PKI, nó phải tạo ra các chứng chỉ số theo kiểu tự ký (self-signed). Các chứng chỉ số này đƣợc ký với khóa riêng của CA gốc đó và trƣờng mô tả cho kiểu chứng chỉ số là NewWithNew. Nghĩa là, chứng chỉ số đƣợc cấp lần đầu cho các đối tƣợng trong hệ thống. Kiểu chứng chỉ số này cũng đƣợc dùng khi CA muốn gửi chứng chỉ số đến cho một đối tƣợng mới tham gia hệ thống. Thông điệp chứa chứng chỉ số này đƣợc gửi đi sau khi CA thực hiện công việc cập nhật khóa công khai của mình.
Đồng thời với việc tạo và gửi đi các chứng chỉ số của mình đến cho các đối tƣợng trong hệ thống, CA gốc cũng phải tạo danh sách các chứng chỉ số cần hủy bỏ (CRL) và lƣu các chứng chỉ số đã gửi đi vào danh sách này. Đây chính là cơ sở để CA hủy bỏ các khóa và thực hiện các phiên cập nhật khóa của mình.
2/. Cập nhật khóa của CA gốc
Các khóa của CA đều có thời gian hiệu lực nhất định nên chúng cần phải đƣợc cập nhật theo định kỳ. Thời gian hiệu lực của khóa sẽ tùy thuộc vào các chính sách đƣợc thiết lập đối với hệ thống PKI. Các chứng chỉ số theo kiểu NewWithNew,
NewWithOld, và OldWithNew đƣợc CA phát hành và gửi đến cho các đối tƣợng sử dụng đã có mặt trong hệ thống. Những đối tƣợng này đang nắm giữ chứng chỉ số cũ của CA (kiểu OldWithOld), khi nhận đƣợc các chứng chỉ số mới gửi đến từ CA, có thể chuyển sang các chứng chỉ số mới theo kiểu NewWithNew một cách an toàn.
Ngoài ra, hoạt động này của CA gốc còn giúp cho các đối tƣợng sử dụng mới (những đối tƣợng sẽ nhận đƣợc chứng chỉ số kiểu NewWithNew) có thể thu đƣợc chứng chỉ số kiểu OldWithOld một cách an toàn, điều này sẽ giúp cho đối tƣợng sử dụng mới có thể kiểm tra các dữ liệu đã có (dữ liệu có thể đƣợc kiểm tra bởi khóa công khai trong các thông điệp kiểu OldWithOld)
3/. Khởi tạo các CA thứ cấp
Nếu xét trên phƣơng diện các giao thức quản lý, việc khởi tạo một CA thứ cấp cũng giống với việc khởi tạo một EE. Điểm khác biệt duy nhất là các CA thứ cấp cũng phải khởi tạo một CRL của mình.
4/. Tạo lập CRL
Trƣớc khi phát hành và gửi đi các chứng chỉ số, một CA mới đƣợc khởi tạo phải tạo ra các CRL trống để chuẩn bị cho việc bổ sung các chứng chỉ số cần hủy bỏ. Các CRL này cũng sẽ đƣợc cập nhật thông tin định kỳ theo thời gian hiệu lực của các chứng chỉ số.
5/. Yêu cầu về thông tin hệ thống PKI
Khi một đối tƣợng trong hệ thống PKI (CA, RA hoặc EE) muốn có đƣợc thông tin trạng thái của một CA nào đó, đối tƣợng này có thể gửi cho CA đo một yêu cầu về các thông tin trên. CA nhận đƣợc yêu cầu phải trả lời bằng việc cung cấp ít nhất là các thông tin đã đƣợc yêu cầu. Nếu có một số trƣờng thông tin nào đó không thể đƣợc đáp ứng thì phải có một thông điệp báo lỗi gửi về cho đối tƣợng yêu cầu.
* Xác thực ngang hàng
Trong giao thức của việc xác thực ngang hàng, CA yêu cầu sẽ là CA có tên trong trƣờng subject của chứng chỉ số (CA đƣợc cấp phát chứng chỉ số). Trong khi đó, CA trả lời sẽ chính là CA đã phát hành chứng chỉ số này. Quá trình xác thực ngang hàng là cần thiết khi các CA muốn trao đổi thông tin với nhau vì nó giúp các CA biết chắc mình đang trao đổi thông tin với đối tƣợng nào.
* Khởi tạo các EE
Cũng giống nhƣ các CA, những EE cũng phải đƣợc khởi tạo khi tham gia vào hệ thống PKI. Quá trình khởi tạo cho các đối tƣợng này bao gồm ít nhất 2 bƣớc sau:
- Thu thập thông tin về hệ thống PKI
Trong thủ tục này, ta cần có những thông tin sau đây:
Khóa công khai của CA gốc, nhánh xác thực từ CA gốc đến CA đang quản lý đối tƣợng này cùng với các CRL có liên quan (trƣờng hợp CA quản lý đối tƣợng không phải là CA gốc), những thuật toán và các tham số của thuật toán mà CA quản lý hỗ trợ trong các mục đích sử dụng có liên quan.
- Kiểm tra khóa công khai của CA gốc
Một EE phải có đƣợc khóa công khai của CA gốc một cách an toàn. Một trong số các phƣơng thức hiệu quả để đảm bảo yêu cầu này là việc sử dụng các chứng chỉ số tự ký và đƣợc trao đổi qua các phƣơng tiện out-of-band. Sau khi nhận đƣợc chứng chỉ số này từ CA gốc, các EE có thể sử dụng những chứng chỉ số này một cách an toàn.
Yêu cầu xác thực
Một EE sau khi khởi tạo có thể sẽ yêu cầu một chứng chỉ số vào bất kỳ thời điểm nào. Yêu cầu này đƣợc truyền tải bởi thông điệp yêu cầu chứng chỉ số (CR). Nếu đối tƣợng đã có một cặp khóa để tạo chữ ký thì thông điệp yêu cầu sẽ đƣợc bảo vệ bằng cách thực hiện phƣơng thức chữ ký số đối với nó. Nếu yêu cầu đƣợc chấp nhận, CA sẽ trả về cho đối tƣợng sử dụng một chứng chỉ số mới.
Cập nhật khóa
Khi cặp khóa của một EE không còn hiệu lực nữa, đối tƣợng này có thể yêu cầu đƣợc cập nhật cặp khóa của mình bằng một cặp khóa mới. Yêu cầu này đƣợc truyền tải bởi thông điệp yêu cầu cập nhật khóa (KUR). Nếu EE đã có một cặp khóa tạo chữ ký thì thông điệp yêu cầu này sẽ đƣợc bảo vệ thông qua phƣơng thức chữ ký số. Nếu yêu cầu đƣợc chấp thuận thì CA sẽ trả về một thông điệp trả lời yêu cầu cập nhật khóa (KUP) có chứa một chứng chỉ số mới cho đối tƣợng.[14]
CHƯƠNG 3 MỘT SỐ TIỆN ÍCH DÙNG TRONG THANH TOÁN ĐIỆN TỬ