2.4.1. Định nghĩa
Trước sự phát triển mạnh mẽ của công nghệ thông tin thì nhu cầu ngày càng tăng cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật đã nảy sinh ra các vấn đề an toàn như sau:
Tính toàn vẹn (Intergrity): đảm bảo rằng thông tin không bị sửa đổi Tính xác thực (Authenticity): xác thực nguồn gốc thông tin
Tính bảo mật (Confidentiality): đảm bảo rằng thông tin được giữ bí mật Tính không chối bỏ (Non-repudiation): đảm bảo rằng thông tin không thể bị chối bỏ nguồn gốc.
Những mục tiêu an toàn này thường được đáp ứng bằng cách sử dụng hệ mật khoá công khai. Mỗi người tham gia vào hệ mật khó công khai có:
Khoá công khai: sử dụng cho mục đích xác thực chữ ký, mã hoá thông tin Khoá bí mật: sử dụng để ký các thông điệp hoặc để giãi mã các thông điệp đã được mã hoá bằng khoá công khai tương ứng.
Hệ mật khoá công khai ra đời đảm bảo rằng chỉ những thực thể sở hữu khoá hợp lệ mới có thể thực hiện những thao tác nhất định như là ký một thông điệp
hoặc giải mã các thông điệp. Để đảm bảo điều này, một liên kết giữa các thực thể đó và khoá của họ phải được thiết lập, từ đó:
- Một thông điệp có thể được mã hoá với khoá hợp lệ - Xác thực người đã ký thông điệp
Hệ thống mật mã khoá công khai là nền tảng cơ bản để xây dựng các hệ thống PKI ngày nay. Ta có thể định nghĩa PKI như sau:
Cơ sở hạ tầng khoá công khai (Public Key Infrastructure – PKI) là một tập hợp các chính sách, các quy trình, thiết bị phần cứng, phần mềm sử dụng để quản lý, cấp phát chứng chỉ số đảm bảo cho việc cung cấp các dịch vụ xác thực và bảo mật [10].
Từ định nghĩa này ta có thể thấy rằng:
PKI là một hạ tầng cơ sở cho phép các tổ chức triển khai và ứng dụng bảo mật dựa trên hệ thống mã hoá khoá công khai, nhằm đảm bảo an toàn thông tin liên lạc và các giao dịch trên mạng Internet.
PKI bao gồm các thủ tục, các dịch vụ và các chuẩn hỗ trợ phát triển các ứng dụng áp dụng các kỹ thuật mã hoá khoá công khai.
Thiết lập các PKI tin cậy cho người dùng là điều kiện tiên quyết phát triển thương mại điện tử và Chính phủ điện tử.
Mục đích của cơ sở hạ tầng khoá công khai PKI là để cung cấp các mối liên hệ giữa những người sử dụng và khoá công khai tương ứng của họ theo một phương thức an toàn. Để tin cậy vào khoá công khai của một người sử dụng trong hệ PKI, người ta đưa ra khái niệm chứng thư số. Chứng thư số được hiểu là một tài liệu điện tử gắn một khoá công khai với một thực thể nào đó. Chứng thư số chứa những thông tin chẳng hạn như định danh, khoá công khai đi kèm, ngày hết hạn của chứng thư của một người, một tổ chức hoặc một thiết bị phần cứng hoặc phần mềm…
Các thành phần chính của một hệ thống PKI:
- Trung tâm chứng thực điện tử (Certificate Authority – CA)
- Trung tâm đăng ký sử dụng chứng thư (Registration Authority – RA) - Dịch vụ thư mục để tra cứu chứng chỉ và danh sách huỷ bỏ chứng thư (Certificate Revocationo List – CRL)
- Hệ thống chính sách, thủ tục cấp phát và quản lý chứng thư số - Hệ thống phần mềm bảo mật trên nền tảng chứng thư số. Mô hình kiến trúc hệ thống PKI được mô tả như trong Hình 2.2
Trung tâm chứng thực Điện tử (CA)
Trung tâm đăng ký (RA)
Trung tâm đăng ký (RA)
Trung tâm đăng ký (RA)
LDAP(Máy chủ thư mục)
User User User
Thực thể đứng ra chịu trách nhiệm và đảm bảo sự tin cậy vào khoá công khai cũng như định danh của chủ sở hữ khoá gọi là trung tâ chứng thực CA. Chứng thư số được ký bởi một trung tâm chứng thực CA bằng khoá bí mật của CA. Chứng thư số do CA phát hành là để xác thực định danh của những người sử dụng và khoá công khai đi kèm, CA có trách nhiệm phát hành, quản lý, cung cấp các dịch vụ cần thiết trên những chứng thư này. Trong mô hình kiến trúc này, các thành phần của PKI bao gồm:
- Certificate Authority (CA): là một tổ chức tin cậy trong việc cấp phát chứng thư số và công nhận các nội dung thông tin lưu trữ trong chứng thư số. CA là thành phần quan trọng của hệ thống PKI, là tổ chức quản lý của PKI.
- Registration Authority (RA): là trung tâm chịu trách nhiệm xác nhận về tính trung thực của yêu cầu sử dụng chứng thư số. RA không có trách nhiệm tạo và ký chứng thư. RA sau khi nhận yêu cầu sẽ chuyển tiếp yêu cầu đó tới CA để thực hiện.
- Kết quả việc cấp phát của CA sẽ được chuyển tới người yêu cầu thông qua RA
- Local Registration Authori (LRA): là đại diện của RA tại địa phương, thực hiện chứng năng của RA tại khu vực qunả lý của mình. LRA có các chứng năng:
Xác nhận các thông tin về người đăng ký
Chấp thuận các yêu cầu đăng ký sử dụng
Gửi yêu cầu cấp mới tới CA
Gửi yêu cầu gia hạn tới CA
Gửi yêu cầu huỷ bỏ chứng chỉ tới CA
Hỗ trợ tại chỗ cho người sử dụng - Các chứng năng mở rộng của hệ thống PKI
Giao thức kiểm tra trạng thái chứng chỉ trực tuyến (OCSP)
Hệ thống chứng thực nhãn thời gian (TSA).
2.4.2. Phân loại kiến trúc của một trung tâm chứng thực CA 2.4.3. Định danh sách user trong hệ thống PKI 2.4.3. Định danh sách user trong hệ thống PKI
Chứng thư số chứa đựng những thông tin về người sử dụng đã được chứng thực và điều quan trọng là thông tin này phải chính xác. Công việc xác thực định danh của những người sử dụng được thực hiện tại trung tâm đăng ký địa phương LRA. Trung tâm đăng ký địa phương này thường được đặt tại địa điểm độc lập với CA. Sau các thủ tục đăng ký (nếu LRA chấp thuận), LRA sẽ gửi thông tin về những người sử dụng cùng với yêu cầu của họ tới trung tâm chứng thực CA, bây giờ thông tin nay đã sẵn sàng cho việc phát hành hoặc huỷ bỏ chứng chỉ.
2.4.4. Phát hành và quản lý các chứng thƣ
Khi một người sử dụng đã được xác nhận định danh và được trung tâm đăng ký LRA chấp nhận yêu cầu, một chứng chỉ sẽ được phát hành trên khoá công khai của người đó. Khoá này có thể được sinh bởi người sử dụng (chương trình ứng dụng trao cho người sử dụng) hoặc bởi trung tâm CA. Trong cả hai trường hợp khoá phải được gửi an toàn đến CA, bởi vậy CA có thể liên kết nó với những thông tin chính xác đã được LRA gửi cho CA. Các chứng thư số được phát hành, đồng thời được lưu trữ trong một thư mục chứng thư, trong trường hợp một số người sử dụng trong hệ thống PKI có thể tải về nếu cần thiết. Tại bất kỳ thời điểm nào, trung tâm CA phải duy trì một trạng thái đúng đắn của các chứng thư, chẳng hạn như khi chứng thư bị huỷ bỏ vì một lý do nào đó (nghi ngờ khoá bị tiết lộ, hết hạn…). Người sử dụng có thể lấy được trạng thái chính
bỏ sẽ được đưa vào danh sách gọi là danh sách các chứng thư bị huỷ bỏ CRLs. Điều này nói lên rằng nếu một chứng chỉ không xuất hiện trên danh sách CRL, nó có thể coi là vẫn hoạt động bình thường. CA phải duy trì danh sách CRL này và thiết lập danh sách này trên thư mục.
Quy trình đăng ký chứng thư
(1) User gửi thông tin về bản thân và khoá công khai tới CA
(2) RA gửi thông tin về người dùng và ký yêu cầu được chấp thuận tới CA (3) CA tạo chứng thư trên khoá công khai, ký bằng khoá bímật của CA và
cập nhật chứng thư trên thư mục (4) CA gửi chứng thư trở lại RA
(5) RA cấp chứng thư cho người sử dụng Quy trình huỷ bỏ chứng thư
(1) Người dùng gửi yêu cầu huỷ bỏ chứng thư tới RA
(2) RA gửi yêu cầu huỷ bỏ chứng thư sau khi đã ký đến trung tâm CA
(3) Sau khi xem xét, CA loại chứng thư có yêu cầu huỷ bỏ và cập nhật danh sách chứng thư huỷ bỏ trên thư mục các chứng thư bị huỷ.
(4) CA gửi mã thông báo ACK trở lại RA
(5) RA gửi thông báo đã huỷ tới người sử dụng.