Các chứng thực số (digital certificates)

Một phần của tài liệu LUẬN văn VIỄN THÔNG công nghệ IP VPN (Trang 106 - 111)

4.3.2 Xác thực nguồn gốc dữ liệu

4.3.2.2 Các chứng thực số (digital certificates)

Một phương pháp để thiết lập tin tưởng đối với khóa công khai của người sử dụng là cách tiếp cận mạng tin tưởng (web of trust) đã được sử dụng bởi gói phần mềm mật mã và xác thực thư điện tử PGP (Pretty Good Privacy). Ví dụ trong hình 4.17, C có thể tin tưởng A thông qua 3 đường liên kết trung gian.

Giá trị ngẫu nhiên (Nonce) Kênh không

an toàn IDU

IDU RRUU RRSS

HashHash

IDU

IDU RRUU SigSig

IDU

IDU RRUU RRSS RS

RS

Giải mã với khóa công khai Giải mã với khóa

công khai

SigSig Khẩu lệnh

Đáp

U ser

Server

Mật mã với khóa bí mật Mật mã với

khóa bí mật HashHash HashHash

Hình 4.17: Mô hình tin tưởng thứ nhất (PGP Web of Trust)

Trong mạng tin tưởng, mỗi đối tác tham gia sẽ yêu cầu các đôi tác khác ký vào mã hash của chứng thực (chưa nhận dạng, chẳng hạn địa chỉ email và khóa công khai) của đối tác đó. Giả sử C nhận được một email ký gửi bởi A, C sẽ lấy chứng thực của A từ một thư mục công cộng và thấy rằng chứng thực đó đã được ký bởi B. Tiếp theo, C lấy chứng thực của B và thấy rằng nó đã được ký bởi D. Tiếp theo, C lấy chứng nhận của D và thấy rằng nó đã được ký bởi chính mình. Đến đây, các mắt xích đã hoàn tất và có thể thiết lập tin tưởng A.

Cách tiếp cận kiểu mạng tin tưởng chỉ thích hợp với một nhóm nhỏ người sử dụng. Khi số người cần được xác thực tăng lên, chẳng hạn hàng triệu người, số lượng các đường liên kết trung gian trung bình tăng và kéo theo tăng việc tìm các chứng thực. Ngoài ra, khi số các mắt xích tin tưởng tăng thì độ tin cậy cũng giảm đi. Ưu điểm của mạng tin tưởng là không cần sự có mặt của một nhà phân phối trung tâm (central authority).

b) Mô hình tin tưởng thứ hai

Mô hình tin tưởng thứ hai phân cấp tin tưởng với các nhà phân phối chứng thực CAs (Certificate Authorities). Hiện nay mô hình này được lựa chọn để triển khai và sử dụng các chứng thực với qui mô lớn. các mắt xích tin tưởng ở dạng phân cấp: trên cùng là các nhà phân phối chứng thực gốc, tiếp theo là các nhà phân phối chứng thực trung gian.

Can C trust A ? Trust

AA Signed by B Signed by B

Certificate

CC

Signed by D Signed by D

Certificate

BB Signed by A Signed by A

DD Signed by B Signed by B

Signed by D Signed by D

Signed by C Signed by C Trust

Trust

Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs)

Các nhà phân phối chứng thực gốc (Root CAs)

Tại mức trên cùng của phân cấp các mắt xích tin tưởng là một số nhà phân phối chứng thực gốc. Các Root CAs được dùng phổ biến là: Verisign, RSA, Baltimore, Rntrust, Deutsche Telekom và Swisskey.

Các nhà phân phối chứng thực trung gian (Intermediate CAs)

Root CAs có thể trực tiếp cấp phát các chứng thực cho người sử dụng. Tuy nhiên đối với các tổ chức trung bình hoặc lớn thì sẽ thuận lợi hơn nhiều nếu tự thiết lập lấy một CS, khi đó họ có thể tự cấp phát hoặc hũy bỏ các chứng thực cho các các nhân trong tổ chức. Bản thân chứng thực của CA trung gian này thường được cấp phát với ký tự Root CA.

Về nguyên tắc thì có thể thực hiện một số tùy ý các phân cấp, nhưng thông thường chỉ sử dụng từ hai đến ba cấp từ chứng thực của người sử dụng đến Root CA.

Cấu trúc chung của một chứng thực X.509

Mạng tin tưởng thường sử dụng chứng thực OpenPGP (RFC 2440). Còn mô hình phân cấp tin tưởng thường sử dụng chứng thực ITU-T X.509 (RFC 2459).

Client Certificate Trust Verisign

Verisign Self Signed Self Signed

Amazon Amazon

Verisign Verisign

BobBob Amazon Amazon

Alice Alice Amazon Amazon

Carol Carol Swisskey Swisskey

Swisskey Swisskey Self Signed Self Signed

Intermediate CA Root CA

Hình 4.19: Cấu trúc chung của một chứng thực X.509 Một chứng thực X.509v3 bao gồm 3 phần

- Phần thân của chứng thực.

- Định nghĩa thuật toán sử dụng bởi CAs để ký chứng thực.

- Chữ ký đảm bảo tính xác thực của chứng thực, bao gồm mã hash của phần thân chứng thực được mật mã với khóa bí mật của CAs.

Riêng phần thân của chứng thực bao gồm các thông tin sau:

• Version Number (số phiên bản): hiện tại có các phiên bản v1, v2, v3.

• Serial Number: duy nhất được cấp bởi SA tương ứng.

• Signature (chữ ký) và Issure: mô tả thuật toán được sử dụng để chứng thực.

• Nhận dạng (ID) của CA phát hành và ký chứng thực.

• Nhận dạng (ID) của đối tượng sử dụng.

• Khóa công khai của đối tượng sử dụng.

• Các mở rộng tùy chọn của v2 hoặc v3.

Signature Signature

SignatureAlgorithm*

SignatureAlgorithm*

Version Serial Number Signature*

Issuer Validity Subject

SubjectPublicKeyInfo

IssuerUniqueID Optional

SubjectUniqueID Optional

Extensions Optional

Version Serial Number Signature*

Issuer Validity Subject

SubjectPublicKeyInfo

IssuerUniqueID Optional

SubjectUniqueID Optional

Extensions Optional

Hash/ Fingerprint Hash/ Fingerprint

Hàm hash Hàm hash

Encryption with Issure’s Private Key

Encryption with Issure’s Private Key

Một phần của tài liệu LUẬN văn VIỄN THÔNG công nghệ IP VPN (Trang 106 - 111)

Tải bản đầy đủ (DOC)

(122 trang)
w