Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi cần có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là “registration authority” - trung tâm đăng ký. Ví dụ khi số lượng thực thể cuối trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Để giải quyết vấn đề này cần thiết phải có một hoặc nhiều RAs (trung tâm đăng ký địa phương).
Mục đích chính của RA là để giảm tải công việc của CA. Chức năng thực hiện của một RA cụ thể sẽ khác nhau tuỳ theo nhu cầu triển khai PKI nhưng chủ yếu bao gồm những chức năng sau:
- Xác thực cá nhân, chủ thể đăng ký chứng thư số
- Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp.
- Xác nhận quyền của chủ thể đối với những thuộc tính chứng thư số được yêu cầu.
- Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký hay
không - điều này thường được đề cập đến như sự chứng minh sở hữu.
- Tạo cặp khóa bí mật, công khai
- Phân phối bí mật được chia sử đến thực thể cuối (ví dụ: khóa công khai của CA)
- Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA
- Lưu trữ khóa riêng
- Khởi sinh quá trình khôi phục khóa
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
2.2.3. Ngƣời dùng cuối
Thực thể cuối trong PKI có thể là con người, thiết bị, và thậm chí là một chương trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ thực hiện những chức năng mật mã (mã hoá, giải mã và ký số).
2.2.4. Hệ thống lƣu trữ
Chứng thư số (khoá công khai) và thông tin thu hồi chứng thư số phải được phân phối sao cho những người cần đến chứng thư số đều có thể truy cập và lấy được. Có 2 phương pháp phân phối chứng thư số:
- Phân phối cá nhân: Đây là cách phân phối cơ bản nhất. Trong phương pháp này
thì mỗi cá nhân sẽ trực tiếp đưa chứng thư số của họ cho người dùng khác. Việc này có thể thực hiện theo một số cơ chế khác nhau. Chuyển giao bằng tay chứng thư số được lưu trong đĩa mềm hay trong một số các môi trường lưu trữ khác. Cũng có thể phân phối bằng cách gắn chứng thư số trong email để gửi cho người khác. Cách này thực hiện tốt trong một nhóm ít người dùng nhưng khi số lượng người dùng tăng lên thì có thể xảy ra vấn đề về quản lý
- Phân phối công khai: Một phương pháp khác phổ biến hơn để phân phối chứng
thư số (và thông tin thu hồi chứng thư số) là công bố các chứng thư số rộng rãi, các chứng thư số này có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu. Dưới đây là ví dụ về một số hệ thống lưu trữ:
+ X.500 Directory System Agents (DSAs).
+ Lightweight Directory Access Protocol (LDAP ) Server. + Online Certificate Status Protocol (OCSP) Responders. + Domain name System (DNS) và Web Servers.
+ File Transfer Protocol (FTP) Servers và Corporate Databases.
2.3. Cách thức hoạt động và chức năng của PKI
Những chức năng chính của PKI nhằm cung cấp tính xác thực và an toàn trong thương mại số bao gồm:
- Khởi tạo cặp khoá chung và khoá riêng để có thể tạo và xác thực chữ ký số.
- Cung cấp tính xác thực để kiểm soát truy cập tới khoá riêng.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Đăng ký cho người dùng mới để được xác thực.
- Lưu trữ lịch sử của khoá.
- Thu hồi chứng thư không hợp lệ.
- Cập nhật và cấp phát lại khoá .
- Cung cấp cách thức hoạt động cho khoá hợp lệ.
Hình 2.3. Mô hình hoạt động của PKI
Tóm lại, PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng thông tin từ các chứng thư khoá công khai đễ mã hoá và giải mã thông tin trong quá trình trao đổi. PKI cho phép các giao dịch số được diễn ra đảm bảo tính bí mật, toàn vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước.
Để thực hiện được các chức năng đó thì PKI hoạt động dựa theo những bước sau:
- Quá trình khởi tạo khoá cặp khoá - Key pair Generation.
- Quá trình tạo chữ ký số- Digital Signature Generation.
- Quá trình mã hoá thông điệp và gắn chữ ký số - Message Encrytion and Digital
Signature Application.
- Quá trình nhận thông điệp và gửi sự kiểm chứng xác nhận.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Quá trình kiểm tra nội dung thông điệp.
2.3.1. Quá trình khởi tạo cặp khoá – Key Pair Generation
Trước khi người gửi chuyển dữ liệu đến cho người nhận mong muốn nó báo cho người nhận biết ý định muốn trao đổi dữ liệu cả hai phái đều phát sinh một cặp khoá tạo nên một khoá riêng và một khoá chung.
- Đầu tiên khoá riêng phát sinh trước.
- Sau đó khoá chung tương ứng sẽ được tạo bằng cách áp dụng hàm băm 1 chiều
đối với khoá riêng.
- Trong PKI Transaction và RSA- Based Transacation thì khoá riêng đều được
dùng để ký thông tin. Khoá chung được dùng để xác nhận chữ ký.
- Một người dùng muốn mã hoá và gửi thông điệp thì trước tiên phải tạo 1 cặp
khoá chung và khoá riêng.
- Cặp khoá này là duy nhất đối với mỗi người dùng trong hệ thống PKI.
- Cặp khoá này thường được tạo bởi người dung.
- Cặp khoá công khai này có thể được sử dụng tuỳ mục đích như sau:
+ Để đảm bảo tính bí mật
Hình 2.4. Mô hình khoá công khai dùng đảm bảo tính bí mật + Để xác thực (chữ ký số)
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Hình 2.5. Mô hình dùng khoá công khai để xác thực
2.3.2. Quá trình tạo chữ ký số - Digital Signature Generation
Sau khi cặp khoá được khởi tạo, một chữ ký số duy nhất cũng được tạo ra. Chữ ký này được dùng để nhận dạng dữ liệu của người gửi. Để tạo ra chữ ký đầu tiên thông điệp cơ bản sẽ bị băm ra (tức là một hàm bằm được áp dụng vào thông điệp cơ bản).
Quá trình xử lý hàm băm này tạo ra một thông điệp phân loại, sẽ được mã hoá sau đó bằng khoá riêng của người gửi. Kết quả được biết như là một chữ ký số.
2.3.3. Quá trình mã hoá thông điệp và gắn chữ ký số - Message Encrytion and Digital Signature Application Digital Signature Application
Sau khi một chữ ký số được chuyển đến người nhận, kèm với khoá chung của người gửi. Thay vì chuyển khoá chung dưới dạng văn bản thuần tuý, đầu tiên khoá chung sẽ được mã hoá với khoá chung của người nhận. Để giải mã khoá chung đã được mã hoá, người nhận phải dùng chính khoá riêng của mình (vì khoá riêng của người nhận chỉ mỗi người nhận mới biết), khả năng mà kẻ xâm nhập bất hợp pháp thay đổi khoá chung là rất nhỏ. Khoá chung của người gửi được coi như một khoá phiên (session key). Sau khi gắn chữ ký số với bản rõ (thông điệp cần gửi), ta có thể bảo mật gói tin gửi đi bằng cách mã hoá chúng trước khi gửi tới nới nhận bởi khoá đối xứng.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Hình 2.6. Mô hình khoá công khai bí mật và xác thực
2.3.4. Quá trình nhận thông điệp và gửi sự kiểm chứng xác nhận
Trong quán trình nhận thông điệp mã hoá và khoá chung phía trên, người nhận có thể đòi hỏi CA tương ứng để xác nhận người gửi. CA sẽ làm việc này bằng cách xác nhận chữ ký số được gắn kèm theo thông điệp và thông báo kết quả với người nhận. Nếu chữ ký được chứng nhận thành công, người nhận sẽ tiếp tục quá trình xử lý giải mã thông điệp. Nếu không thì thông điệp nhận được sẽ bị loại bỏ và quá trình giao dịch kết thúc.
2.3.5. Quá trình giải mã thông điệp
Sau khi nhận dạng người gửi thành công, người nhận sẽ giải mã thông điệp. Để làm việc này đầu tiên người nhận sẽ giải mã khoá chung của người gửi bằng cách sử dụng khoá riêng của chính mình. Khi khoá chung của người gửi được lấy lại thành công, người nhận dùng nó để giải mã thông điệp.
2.3.6. Quá trình kiểm tra nội dung thông điệp
Cuối cùng người nhận xác nhận nội dung thông điệp vừa nhận. Đầu tiên, chữ ký số được giải mã bằng cách sử dụng khoá chung của người gửi và thông điệp phân loại được phục hồi. Thông điệp giải mã sau đó được băm bằng cách sử dụng hàm bằm và một thông điệp phân loại mới được trích ra. Sau đó so sánh thông điệp phân loại vừa nhận và thông điệp phân loại vừa mới phát sinh. Nếu chúng tương đồng nghĩa là dữ liệu sẽ không bị chặn và không bị thay đổi trong quá trình trao đổi.
2.4. Các dịch vụ của PKI
2.4.1. Các dịch vụ cốt lõi của PKI
Vì PKI được kết hợp từ 3 dịch vụ cơ bản là xác thực, toàn vẹn và bí mật nên các dịch vụ của PKI cũng xuất phát từ những dịch vụ này:
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Dịch vụ này đảm bảo cho một người dùng rẳng một thực thể nào đó đúng là đối tượng mà họ đang cần khẳng định.
- Hai ngữ cảnh ứng dụng chính của dịch vụ này là:
+ Định danh thực thể: phục vụ cho việc định danh một thực thẻ xác định. + Định danh nguồn gốc dữ liệu: định danh một thực thể như là nguồn gốc hoặc xuất phát điểm của một mẫu dữ liệu.
- Có 2 kiểu xác thực đó là xác thực cục bộ và xác thực ở xa
+ Xác thực cục bộ: là loại xác thực một thực thể với môi trường cục bộ và luôn đòi hỏi người dùng tham gia trực tiếp.
+ Xác thực ở xa: là xác thực một thực thể với môi trường ở xa và có khi không cần tới sự tham gia trực tiếp của người sử dụng nên khó bảo vệ dữ liệu nhạy cảm và không thuận tiện cho người dùng khi nhập vào thông tin xác thực nhiều lần.
- Có 4 nhân tố chính trong việc chứng minh một định danh:
+ Một cái gì đó người dùng có (thẻ thông minh,thẻ bài…) + Một cái gì đó người dùng biết (mật khẩu…)
+ Một cái gì đó gắn với người dùng (vân tay…) + Một cái gì đó người dùng thực hiện.
- Xác thực một nhân tố sử dụng trong số các lựa chọn trên, hoặc có thể xác thực
kết hợp nhiều nhân tố.
- Thông thường xác thực cục bộ một hay nhiều nhân tố không sử dụng dịch vụ
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Hình 2.7. Xác thực từ xa sử dụng cặp ID/Mật khẩu
- Xác thực từ xa không dựa trên PKI do 2 khả năng:
+ Người dùng cần phải xác thực tường minh với môi trường ở xa.
+ Sợ chứng mình của việc xác thực ở môi trường cục bộ cần được chuyển tới môi trường ở xa theo cách nào đó.
- Nhưng trong cả 2 khả năng thì kênh liên lạc giữa 2 môi trường cần được bảo
vệ (ví dụ: phân phối trước khoá dùng chung)
- Xác thực từ xa dựa trên PKI mang lại 2 lợi ích như sau:
+ Giảm được sự phức tạp của việc phân phối trước khoá dùng chung. + Dữ liệu xác thực nhạy cảm không cần phải truyền trên mạng. + Khả năng đăng nhập 1 lần.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Hình 2.8. Xác thực từ xa dựa trên khoá công khai
- Công nghệ khoá công khai được sử dụng để thực hiện việc xác thực sử dụng giao thức Yêu cầu/Đáp ứng và các thông điệp được ký.
2.4.1.2. Toàn vẹn dữ liệu
- Dịch vụ toàn vẹn dữ liệu đảm bảo dữ liệu không bị thay đổi, nếu có thay đổi thì bị phát hiện.
- Để đảm bảo tính toàn vẹn dữ liệu, một hệ thống phải có khả năng phát hiện được những thay đổi dữ liệu trái phép, nhằm mục đích là giúp cho người nhận dữ liệu xác minh được rằng dữ liệu không bị thay đổi.
- Trong dịch vụ toàn vẹn dữ liệu thì các kỹ thuật mã thường được sử dụng,và thường có sự thoả thuận về các thuật toán và khoá thích hợp giữa 2 bên.Các kỹ thuật mật mã đó là:
+ Chữ ký số: Nếu dữ liệu bị thay đổi, chữ ký sẽ loại bỏ khi kiểm tra. Vì vậy việc mất tính toàn vẹn của dữ liệu dễ dàng bị phát hiện.
+ Mã xác thực thông điệp MAC (Message Authentication Code): Kỹ thuật này thường sử dụng mật mã khối đối xứng hoặc hàm băm mật mã.
- Khi A muốn gửi cho B dữ liệu được bảo vệ tính toàn vẹn, A có thể thực hiện
dãy các thao tác sau:
+ Tạo khóa đối xứng mới.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
+ Mã hóa khóa đối xứng bằng khóa công khai của B. + Gửi dữ liệu cho B cùng với khóa được mã hóa.
- Nếu B có khóa công khai (chẳng hạn khóa công khai Diffie- Hellman), A có
thể thực hiện dãy các thao tác:
+ Tạo khóa đối xứng mới từ khóa công khai của B và khóa bí mật của mình. + Sử dụng khóa đối xứng để sinh MAC cho dữ liệu.
+ Gửi dữ liệu cho Bob cùng với chứng thư khóa công khai của mình.
- Sau khi nhận được dữ liệu từ A, B tạo lại khóa đối xứng, sử dụng khóa công khai của A, khóa bí mật của mình để kiểm tra tính toàn vẹn.
2.4.1.3. Bí mật
- Dịch vụ bí mật nhằm đảm bảo tính bí mật của dữ liệu, không ai có thể đọc được nội dung dữ liệu ngoại trừ người dùng định trước.
- Các dữ liệu nhạy cảm đều cần được bảo mật. - Tính bảo mật thường được yêu cầu khi:
+ Dữ liệu được lưu truyền trên phương tiện dễ bị đọc bởi người dùng không
được quyền.
+ Dữ liệu được lưu trên thiết bị có thể bị rơi vào tay những người không được phép.
+ Dữ liệu được truyền trên các mạng không được bảo vệ.
+ Kỹ thuật bảo mật dữ liệu có cơ chế tương tự với một trong các phương án của dịch vụ toàn vẹn dữ liệu. Tức là: A sinh khóa đối xứng.
+ Khóa đối xứng được dùng để mã hóa dữ liệu.
+ Dữ liệu đã mã hóa được gửi đến B cùng với khóa công khai trong thỏa thuận khóa của A hoặc bản sao của khóa đối xứng đã được mã hóa bằng khóa công khai của B.
2.4.2.Các dịch vụ PKI hỗ trợ 2.4.2.1. Liên lạc an toàn
Là việc truyền dữ liệu giữa người gửi và người nhận với một hoặc nhiều tính chất như: xác thực, toàn vẹn, bí mật. Một số dịch vụ liên lạc an toàn như thư số an toàn, truy cập máy chủ web an toàn, mạng riêng ảo.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Thư số an toàn có thể cài đặt như một dịch vụ được hỗ trợ bởi PKI bằng cách: buộc gói E-mail truy cập các dịch vụ an toàn cốt lõi của PKI để mã hóa và ký các thông báo. Các thông báo sau đó được chuyển qua mạng không an toàn nhưng đảm bảo được tính toàn vẹn, xác thực, bí mật.
2.4.2.2. Dấu thời gian an toàn
Tem thời gian là biểu thị rằng một tài liệu nào đó là trước tài liệu X, và sau tài liệu Y. Nó liên kết thời gian với dữ liệu và được cung cấp bởi thẩm quyền thời gian. Thẩm quyền thời gian này được tin cậy và không yêu cầu chỉ có một thẩm quyền thời
