Chương 1. MỘT SỐ KHÁI NIỆM CƠ BẢN
1.4.2. Chứng chỉ khoá công khai
Khi một người (người gửi) thông báo muốn sử dụng kỹ thuật khóa công khai để mã hóa một thông báo và gửi cho người nhận, người gửi cần một bản sao khóa công khai của người nhận. Khi một thành viên bất kỳ muốn kiểm tra chữ ký số - chữ ký số này đƣợc thành viên khác sinh ra, thành viên kiểm tra cần một bản sao khóa công khai của thành viên ký. Chúng ta gọi cả hai thành viên mã hóa thông báo và thành viên kiểm tra chữ ký số - là những người sử dụng khóa công khai.
Khi một giá trị khóa công khai được gửi đến cho một người sử dụng khóa công khai thì không cần thiết phải giữ bí mật giá trị khóa công khai này. Tuy nhiên, người sử dụng khóa công khai phải đảm bảo rằng khóa công khai được sử dụng đúng là dành cho thành viên khác (có thể là người nhận thông báo có chủ định hoặc bộ sinh chữ ký số đƣợc yêu cầu). Nếu một kẻ truy nhập có thể dùng một khóa công khai khác thay thế cho khóa công khai hợp lệ, các nội dung của thông báo đã mã hóa có thể bị lộ, những thành viên không chủ định khác sẽ biết đƣợc và các chữ ký số có thể bị làm giả. Nói cách khác, cách bảo vệ (đƣợc tạo ra từ các kỹ thuật này) bị ảnh hưởng hoàn toàn nếu một kẻ truy nhập có thể thay thế các khóa công khai không xác thực.
Đối với các nhóm thành viên nhỏ, yêu cầu này có thể đƣợc thỏa mãn một cách dễ dàng. Ví dụ trong trường hợp có hai người quen biết nhau, khi người này muốn truyền thông tin an toàn với người kia, họ có thể có được bản sao khóa công khai của nhau bằng cách trao đổi các đĩa có chứa các giá trị khóa công khai của từng người, vì vậy đảm bảo rằng các giá trị khóa công khai được lưu giữ an toàn trên mỗi hệ thống cục bộ của từng người. Đây chính là hình thức phân phối khóa công khai thủ công. Tuy nhiên, hình thức phân phối khóa công khai thủ công này bị coi là không thực tế hoặc không thỏa đáng trong phần lớn các lĩnh vực ứng dụng khóa công khai, đặc biệt khi số lượng người sử dụng trở nên quá lớn và/hoặc ở phân tán.
Các chứng chỉ khóa công khai giúp cho việc phân phối khóa công khai trở nên có hệ thống.
Một hệ thống chứng chỉ khóa công khai làm việc nhƣ sau: Một CA phát hành các chứng chỉ cho những người nắm giữ cặp khóa công khai và khóa riêng. Một
Khi một chủ thể của chứng chỉ là một người hoặc một thực thể hợp pháp nào đó, chủ thể thường được nhắc đến như là một thực thể (subscriber) của CA.
Các chứng chỉ đƣợc CA ký, bằng cách sử dụng khóa riêng của CA.
Hình 1.8: Chứng chỉ khóa công khai dựa trên CA
Một khi các chứng chỉ này được thiết lập, nhiệm vụ của người sử dụng khóa công khai rất đơn giản. Giả thiết rằng, một người sử dụng khóa công khai đã có khóa công khai của CA một cách bí mật (ví dụ: thông qua phân phối khóa công khai thủ công) và người sử dụng khóa công khai tin cậy CA phát hành các chứng chỉ hợp lệ. Nếu người sử dụng khóa công khai cần khóa công khai của một trong các thuê bao của CA này, người sử dụng khóa công khai có thể thu được khóa công khai của một thuê bao bằng cách lấy một bản sao chứng chỉ của thuê bao, lấy ra giá trị khóa công khai, kiểm tra chữ ký của CA có trên chứng chỉ hay không bằng cách sử dụng khóa công khai của CA. Một người sử dụng khóa công khai sử dụng các chứng chỉ nhƣ cách trên đƣợc coi là một thành viên tin cậy. Kiểu hệ thống này tương đối đơn giản và kinh tế khi thiết lập trên diện rộng và theo hình thức tự động bởi vì một trong các đặc tính quan trọng của chứng chỉ là:“Các chứng chỉ có thể được phát hành mà không cần phải bảo vệ thông qua các dịch vụ an toàn truyền thông để đảm bảo sự tin cẩn xác thực và tính toàn vẹn”.
Chúng ta không cần giữ bí mật giá trị khóa công khai, nhƣ vậy các chứng chỉ không phải là bí mật. Hơn nữa, ở đây không đòi hỏi các yêu cầu về tính xác thực và toàn vẹn do các chứng chỉ tự bảo vệ (chữ ký số của CA có trong chứng chỉ cung cấp bảo vệ xác thực và toàn vẹn). Một kẻ truy nhập trái phép định làm giả một chứng chỉ khi chứng chỉ này đang được phát hành cho những người sử dụng khóa công khai, những người sử dụng này sẽ phát hiện ra việc làm giả này bởi vì chữ ký số của CA đƣợc kiểm tra chính xác. Chính vì thế các chứng chỉ khóa công khai đƣợc phát hành theo các cách không an toàn ví dụ nhƣ: thông qua các máy chủ, các hệ thống thƣ mục và/hoặc các giao thức truyền thông không an toàn.
Lợi ích cơ bản của một hệ thống cấp chứng chỉ là: một người sử dụng khóa công khai có thể có đƣợc một số lƣợng lớn các khóa công khai của các thành viên khác một cách đáng tin cậy, xuất phát từ thông tin về khóa công khai của một thành viên, đó chính là khóa công khai của CA. Lưu ý rằng một chứng chỉ chỉ hữu ích khi người sử dụng khoá công khai tin cậy CA phát hành các chứng chỉ hợp lệ.