CHƢƠNG 2 : CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI
2.3. Chức năng và cách thức hoạt động của PKI
Hạ tầng khóa công khai thực hiện các chức năng sau:
- Tạo cặp khóa bí mật/công khai phục vụ việc tạo và xác thực chữ ký số. - Cung cấp tính xác thực để kiểm soát việc truy cập đến khóa bí mật. - Tạo và cấp giấy chứng nhận xác thực ngƣời dùng.
- Đăng ký cho ngƣời dùng mới phục vụ công việc xác thực. - Lƣu trữ lịch sử các khóa để tham chiếu trong tƣơng lai. - Thu hồi chứng thƣ không hợp lệ.
- Cập nhập và cấp phát lại khóa khi có yêu cầu đƣợc chấp nhận. - Cung cấp cách thức hoạt động cho khóa hợp lệ [2].
2.3.2. Cách thức hoạt động của PKI
Để thực hiện công việc của mình PKI cần thực hiện các bƣớc sau: 1. Tạo cặp khóa công khai.
2. Ứng dụng chữ ký số để xác thực ngƣời gửi. 3. Mã hóa thông điệp.
4. Chuyển giao khóa đối xứng[2].
2.3.2.1 Khởi tạo cặp khóa
Đây là bƣớc đầu tiên trong quá trình làm việc của PKI. Ngƣời dùng muốn mã hóa hoặc gửi thông điệp thì trƣớc hết cần khởi tạo cặp khóa. Khởi tạo cặp khóa sinh ra khóa công bí mật và khóa công khai. Cặp khóa này là duy nhất đối với mỗi ngƣời dùng. Trong trƣờng hợp chủ sở hữu muốn thực hiện giao dịch điện tử thì sử dụng khóa bí mật để ký lên dữ liệu rồi gửi cho ngƣời nhận, ngƣời nhận sử dụng khóa công khai của ngƣời gửi thẩm tra chữ ký của họ và bất cứ ai cũng có thể thẩm tra đƣợc chữ ký của ngƣời gửi nếu chứng thƣ số của họ đƣợc công bố công khai. Trong trƣờng hợp ngƣời khác muốn mã hóa thông tin rồi gửi cho chủ sở hữu cặp khóa đó thì sử dụng khóa công khai của họ để mã hóa thông điệp sau đó mới gửi cho họ, khi nhận đƣợc thông điệp đã đƣợc mã hóa thì ngƣời nhận sẽ dùng khóa bí mật của mình để giải mã và chỉ chủ sở hữu cặp khóa mới có thể giải mã đƣợc thông điệp đƣợc ký bằng khóa công khai của mình[2].
2.3.2.2. Tạo chữ ký số
Chữ ký số đƣợc gắn với thông điệp đƣợc mã hóa để xác thực ngƣời gửi. Chữ ký số cũng có tính pháp lý nhƣ chữ ký tay. Chủ sở hữu phải chịu trách nhiệm về chữ ký số của mình trƣớc pháp luật. Chữ ký số đƣợc tạo ra từ thông điệp và khóa bí mật của bên gửi. Để tạo chữ ký số cần thực hiện các bƣớc sau:
1. Chuyển đổi thông điệp gốc sang một chuỗi bit có chiều dài cố định gọi là đại diện của thông điệp. Việc chuyển đổi này đƣợc thực hiển bởi một hàm băm.
2. Mã hóa đại diện của thông điệp bằng khóa bí mật của ngƣời gửi thu đƣợc chữ ký số của ngƣời gửi.
3. Gắn chữ ký này cùng với thông điệp gốc.
2.3.2.3. Mã hóa thông điệp
Sau khi tạo đƣợc chữ ký số để đảm bảo tính bảo mật có thể sử dụng phƣơng pháp mã hóa. Việc mã hóa thông điệp gốc và chữ ký số có thể sử dụng mã hóa khóa đối. Khóa đƣợc chia sẻ đối với cả ngƣời gửi và ngƣời nhận và chỉ sử dụng trong một lần đối với việc mã hóa và giải mã[2].
2.3.2.4. Truyền khóa đối xứng
Khi sử dụng phƣơng pháp mã hóa khóa đối xứng thì ngoài việc gửi thông điệp và chữ ký số đã đƣợc mã hóa ngƣời gửi còn phải gửi cho ngƣời nhận khóa đối xứng để giải mã thông tin nhận đƣợc. Trƣờng hợp này có nguy cơ lộ thông tin trên đƣờng truyền. Nếu có kẻ gian đánh cắp đƣợc thông tin về khóa đối xứng có thể giải mã đƣợc thông điệp. Khi đó thông tin sẽ bị tiết lộ, không đảm bảo tính bảo mật thông tin. Để khắc phục tình trạng này ngƣời gửi có thể sử dụng khóa công khai của ngƣời nhận để mã hóa khóa đối xứng trƣớc khi gửi cho ngƣời nhận. Chỉ ngƣời nhận mới có thể giải mã đƣợc khóa đối xứng đã đƣợc mã hóa này. Nhƣ vậy ngƣời gửi sẽ gửi thông điệp, chữ ký số đã đƣợc mã hóa bằng khóa đối xứng và khóa đối xứng đã đƣợc mã hóa bằng khóa công khai của ngƣời nhận [2].
2.3.2.5. Xác nhận thực thể ký bởi một tổ chức CA
CA hoạt động nhƣ một bên thứ ba đáng tin cậy để xác định danh tính của các bên tham gia giao dịch điện tử. Khi ngƣời nhận nhận đƣợc một thông điệp đƣợc mã hóa cùng với chữ ký số có thể hỏi CA để xác minh chữ ký số đi kèm thông điệp. Khi nhận đƣợc yêu cầu CA sẽ tiến hành thẩm tra, CA sẽ đảm bảo rằng đó có phải là chữ ký số của ngƣời muốn xác minh hay không.
2.3.2.6. Giải mã thông điệp và xác định nội dung thông điệp
Khi ngƣời nhận nhận đƣợc thông điệp đã đƣợc mã hóa cần phải giải mã thông điệp. Thông điệp đã mã hóa có thể cần phải giải mã bằng khóa đối xứng đã đƣợc mã hóa gửi kèm thông điệp. Trƣớc khi giải mã thông điệp phải giải mã
khóa đối xứng đã đƣợc mã hóa bằng khóa bí mật của ngƣời nhận. Khóa đối xứng sau khi đƣợc giải mã sẽ dùng để giải mã thông điệp đã đƣợc mã hóa. Chữ ký số đi cùng thông điệp sẽ đƣợc giải mã bằng khóa công khai của ngƣời nhận tạo ra một đại diện của thông điệp D1. Thông điệp sau khi đƣợc giải mã sẽ đƣợc băm lại tạo ra đại diện thứ hai D2. So sánh hai đại diện D1 và D2, nếu cả hai trùng khớp chứng tỏ thông tin không bị thay đổi trên đƣờng truyền.
Ngoài việc cung cấp tính năng bảo mật, PKI còn đảm bảo độ tin cậy và tính pháp lý cho thông tin điện tử. Dù là giao dịch điện tử hay vật lý để đảm bảo tính pháp lý các giao dịch đều phải đảm bảo các tiêu chí sau:
- Chống chối bỏ: Tất cả các thực thể liên quan đến giao dịch đều không thể chối bỏ là một phần của giao dịch.
- Bảo mật đƣờng truyền: Cần có một cơ chế thích hợp đảm bảo an ninh của thông điệp trên đƣờng truyền. Bất cứ sự giả mạo hay chỉnh sửa nào của thông điệp đều phát hiện ra.
- Đảm bảo tính riêng tƣ: Bất cứ sự truy cập trái phép nào vào thông điệp đều bị từ chối.
- Đảm bảo xác thực: Các bên tham gia đều biết danh tính của nhau để kiểm tra tính xác thực.
- Đảm bảo thực thi: Các giao dịch phải đƣợc kiểm chứng và đƣợc ký bởi tất cả các bên tham gia[2].