Trong mô hình này, mỗi người sử dụng trực tiếp và hoàn toàn có trách nhiệm trong việc quyết ựịnh tin tưởng hay từ chối chứng chỉ. Mỗi người sử dụng giữ một khoá vòng và khoá này ựóng vai trò như CA của họ. Khoá vòng chứa khoá công khai ựược tin cậy của những người sử dụng khác trong cộng ựồng. Mô hình này ựược Zimmerman phát triển ựể sử dụng trong chương trình phần mềm bảo mật PGP.
Mô hình này có một số hạn chế sau:
- Không có khả năng mở rộng và thắch hợp với những miền lớn.
- Khó ựể ựặt mức ựộ tin cậy ựối với khoá công ựược lấy từ người khác. Không có
sự nhất quán của quá trình xác thực vì nó phụ thuộc vào người sử dụng
- Người sử dụng phải quản lý PKI và cần phải hiểu sâu về nó. Mặc dù có những nhược ựiểm song mô hình này vẫn thắch hợp cho việc sử dụng cá nhân trên Internet.
Mỗi mô hình ựều có ưu và nhược ựiểm riêng. Việc lựa chọn mô hình nào tuỳ thuộc vào những yêu cầu mục ựắch của cộng ựồng người dùng, tổng chi phắ, thời gian triển khai, nhân lực quản lý, công nghệ hỗ trợ và một số vấn ựề liên quan khác.
CHƯƠNG III: TRIỂN KHAI VÀ ỨNG DỤNG CHỨNG CHỈ SỐ TRONG MỘT SỐ GIAO DỊCH đIỆN TỬ
để có thể triển khai ựược dịch vụ chứng thực số, cần xây dựng một server ựảm nhiệm việc cấp phát, thu hồi chứng thực số.
Trong ựề tài này, tác giả sử dụng phần mềm Certificate Authority trên nền tảng Windows Server 2003 ựể cung cấp chứng chỉ số cho các dịch vụ.
Một số dịch vụ ựiển hình trong các giao dịch trên Internet có thể sử dụng chứng chỉ số nhằm nâng cao tắnh bảo mật cho các giao dịch:
Chữ ký ựiện tử: Sử dụng ựể xác nhân người gửi thông ựiệp, file hoặc dữ
liệu khác. Chữ ký ựiện tử không hỗ trợ bảo vệ dữ liệu khi truyền.
Chứng thực internet: Có thể sử dụng PKI ựể chứng thực client và server
ựược thiết lập nối kết trên internet, vì vây server có thể nhân dạng máy client nối kết ựen nó và client có thể xác nhân ựã nối kết ựúng server.
Bảo mật IP ( IP Security - IPSec): mở rộng IPSec cho phép mã hóa và
truyền chữ ký số, nhằm ngăn chặn dữ liệu bị lộ khi truyền trên mạng. Triển khai IPSec trên Windows Server 2003 không phải dùng PKI ựể có ựược khóa mã hóa của nó, nhưng có thể dùng PKI với mục ựắch này.
Secure e-mail: Giao thức e-mail trên internet truyền thông ựiệp mail ở che
ựộ bản rõ, vì vây nội dung mail dễ dàng ựọc ựược khi truyền. Với PKI, người gửi có thể bảo mât e-mail khi truyền bằng cách mã hóa nội dung mail dùng khóa công khai của người nhân. Ngoài ra, người gửi có thể ký lên thông ựiệp bằng khóa riêng của mình.
Smart card logon: Smart card là một loại thẻ tắn dụng. Windows Server
2003 có thể dùng smart card như là một thiết bị chứng thực. Smart card chứa chứng chỉ của user và khóa riêng, cho phép người dùng logon tới bất kỳ máy nào trong doanh nghiệp với ựộ an toàn cao.
Software code signing: Kỹ thuật Authenticode của Microsoft dùng chứng
chỉ ựể chứng thực những phần mềm người dùng download và cài ựặt chắnh xác là của tác giả và không ựược chỉnh sửa.
Wireless network authentication: Khi cài ựặt một LAN wireless, phải chắc
chắn rằng chỉ người dùng chứng thực ựúng thì mới ựược nối kết mạng và không có ai có thể nghe lén khi giao tiếp trên wireless. Có thể sử dụng Windows Server 2003 PKI ựể bảo vệ mạng wireless bằng cách nhân dạng và chứng thực người dùng trước khi họ truy cập mạng.