Chứng thư số ( Digital Certificates )

Một phần của tài liệu Tích hợp chữ ký số cho hộ chiếu điện tử luận văn ths công nghệ thông tin 60 48 01 04 pdf (Trang 35 - 39)

Chương 2 CƠ SỞ LÝ THUYẾT

2.6 Chứng thư số ( Digital Certificates )

Hiện nay, mật mã khóa công khai được xem là giải pháp tốt nhất đảm bảo được các yêu cầu về an toàn thông tin mạng như bảo mật, toàn vẹn, xác thực và chống chối bỏ. Khác với hệ mật mã khóa đối xứng là chỉ sử dụng một khóa bí mật cho quá trình mã hóa và giải mã, hệ mật mã khóa công khai lại sử dụng hai khóa khác nhau (khóa công khai/khóa bí mật), trong đó khóa công khai được phân phối một cách tự do, còn khóa bí mật được cất giữ cho quá trình mã hóa.

Cùng với sự phát triển của Internet thì nhu cầu trao đổi thông tin trên mạng ngày càng cao. Mỗi cá nhân, tổ chức chức muốn đảm bảo an toàn cho thông tin của mình, trước khi trao đổi sẽ phải mã hóa thông tin bằng khóa bí mật, sau đó đưa khóa công khai của mình ra trao đổi. Có một vấn đề đặt ra, đó là làm thế nào để nhận biết được khóa công khai thực sự thuộc về một cá nhân hay một tổ chức nào đó?

Chứng thư số (Digital Certificate) [13] được tạo ra để giải quyết vấn đề này.

Khóa công khai được lưu trữ trong một định dạng đặc biệt, đó chính là chứng thư số. Chứng thư số là một file điện tử được sử dụng để nhận diện một thực thể, gắn khóa công khai và các thuộc tính của thực thể vào nó. Chứng thư số được tạo ra bởi nhà cung cấp chứng thư số CA. CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng thư số mà mình cấp.

Ngoài khóa công khai và các thuộc tính của thực thể, chứng thư số còn lưu trữ chữ ký số của CA. Đây chính là sự xác nhận của CA, bảo đảm về độ tin cậy, độ chính xác của chứng thư số mà CA cung cấp. Cá nhân, tổ chức muốn kiểm tra một chứng thư số, trước hết phải kiểm tra chữ ký số của CA có hợp lệ hay không.

Một số loại chứng thư số thông dụng là:

 Chứng thư X.509.

 Chứng thư khóa công khai đơn giản (Simple Public Key Certificates - SPKC).

 Chứng thư thuộc tính (Attribute Certificates - AC).

Hiện nay chứng thư X.509 được sử dụng rộng rãi trong hầu hết các hệ thống PKI.

Hình 2.7 – Chứng thư số 2.6.2 Chứng thư số X509

Chứng thư X.509 [25] version 3 là định dạng chứng thư được sử dụng phổ biến.

Chứng thư khoá công khai X.509 được Hội viễn thông quốc tế (ITU) đưa ra lần đầu tiên năm 1988như là một bộ phận của dịch vụ thư mục X.500.

Chứng thư gồm 2 phần. Phần đầu là nhữngtrường cơ bản cần thiết phải có trong chứng thư. Phần thứ hai chứa thêm một số trường phụ, những trường phụ này được gọi là trường mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống.

Hình 2.8 – Khuôn dạng chứng thư số X509

Định dạng chứng thư số X.509 bao gồm một số trường cơ bản sau:

 Version number: Số phiên bản của chứng thư.

 Serial number: Là định danh duy nhất của chứng thư số do CA gán.

 Signature: Chỉ ra thuật toán mà CA sử dụng để ký số chứng thư, thường là thuật toán RSA hoặc DSA.

 Issuer: Chỉ ra CA cấp và ký số chứng thư.

 Validity period: Chỉ ra khoảng thời gian mà chứng thư có hiệu lực, từ thời điểm chứng thư bắt đầu có hiệu lực đến thời điểm hết hạn.

 Subject: Xác định thực thể mà khóa công khai của thực thể này được xác nhận. Tên của thực thể này là duy nhất.

 Subject public key Information: Chứa khóa công khai và những tham số liên quan đến thực thể, xác định thuật toán được sử dụng cùng với khóa.

 Issuer unique identifier: Đây là trường tùy chọn không bắt buộc, cho phép sử dụng lại tên người cấp, ít được sử dụng trong thực tế.

 Subject unique identifier: Là trường tùy chọn cho phép sử dụng lại tên của thực thể khi quá hạn, ít được sử dụng.

 Extensions: Chỉ có trong chứng thư số v.3.

Tính toàn vẹn của chứng thư số được đảm bảo bằng chữ ký số của CA trên chứng thư. Khóa công khai của CA được phân phối đến người sử dụng chứng thư theo một cơ chế bảo mật trước khi thực hiện các thao tác PKI. Người sử dụng kiểm tra hiệu lực của chứng thư được cấp với chữ ký số và khóa công khai của CA.

2.6.3 Thu hồi chứng thư số

Trong một số trường hợp như khóa riêng bị lộ, người sở hữu chứng thư số thay đổi địa điểm, cơ quan… thì chứng thư số đã được cấp không còn hiệu lực. Do đó cần phải có một cơ chế cho phép người sử dụng chứng thư kiểm tra được thời điểm chứng thư bị thu hồi. Cơ chế thu hồi X.509 xác định là sử dụng danh sách chứng thư bị thu hồi (Certificate Revocation Lists - CRLs).

CRL là một giải pháp được sử dụng để làm cơ chế thu hồi chứng thư số hết hạn.

Đây là một cấu trúc dữ liệu được ký như chứng thư người sử dụng. CRL chứa danh sách các chứng thư bị thu hồi và những thông tin cần thiết khác của người sử dụng.

Ngày thông báo thu hồi chứng thư số được xác định trong header của CRL khi nó được công bố. Vị trí của thông tin thu hồi có thể khác nhau tùy theo CA khác nhau.

Bản thân chứng thư số có thể chứa con trỏ đến vị trí của thông tin thu hồi. Do đó, người sử dụng có thể biết được thư mục, kho lưu trữ hay cơ chế để lấy thông tin thu hồi dựa trên những thông tin cấu hình được thiết lập trong quá trình khởi tạo.

Định dạng của CRL có các trường như sau:

 Version Number: Chỉ ra phiên bản của CRL.

 Signature: Nhận biết loại hàm băm và thuật toán ký được sử dụng để ký danh sách thu hồi CRL.

Hình 2.9 – Định dạng CRL

 Issuer: Tên của thực thể cấp và ký CRL.

 This Update: Chỉ ra thời gian CRL được công bố.

 Next Update: Chỉ ra thời gian danh sách thu hồi kế tiếp được cấp.

 List of Revoked Certificates: Danh sách các chứng thư bị thu hồi (bao gồm số serial, ngày thu hồi và lý do thu hồi).

Hình 2.10 – Danh sách chứng thư thu hồi 2.6.4 Công bố và thu hồi chứng thư số

Thông thường chứng thư sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhưng trong một số trường hợp chứng thư lại không hợp lệ trước thời gian hết hạn, ví dụ như:

 Khoá riêng của chủ thể bị xâm phạm .

 Thông tin chứa trong chứng thư bị thay đổi

 Khoá riêng của CA cấp chứng thư bị xâm phạm

Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác. Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng thư là công bố CRLs định kỳ hoặc khi cần thiết. Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng như dùng phương pháp trực tuyến Online Certificate Status Protocol .

2.6.5 Cơ chế truy vấn On-line (On-line Query Mechanisms)

CRLs giúp người sử dụng cuối nhận biết được về tình trạng thu hồi chứng thư.

Nhưng có một vấn đề nảy sinh là điều gì sẽ xảy ra nếu CA thu hồi chứng thư ngay sau khi vừa công bố CRL. Không có người sử dụng nào nhận biết được về việc thu hồi này đến khi một CRL mới được thông báo.

Một lược đồ khác để kiểm soát được trạng thái của chứng thư do IETF phát triển là OCSP (Online Certificate Status Protocol). Lược đồ này dựa trên cơ chế truy vấn On-line [7] hơn việc công bố định kỳ CRLs. OCSP là giao thức yêu cầu/ trả lời đưa ra cơ chế để nhận được thông tin thu hồi trực tuyến từ thực thể tin cậy là “OCSP Responder”. Người sử dụng cuối thực hiện yêu cầu với “OCSP Request” với một danh sách các chứng thư cần được kiểm tra, OCSP Responder trả lời yêu cầu “OCSP Reply” với trạng thái của mỗi chứng thư. Chứng thư có thể ở một trong ba trạng thái sau: “good”, “revoked” và “unknown”.

Sử dụng dịch vụ online có một số ưu điểm sau:

 Trả lời thường xuyên và luôn có tính chất mới

 Thời gian trả lời nhanh

 Giảm thiểu việc sử dụng băng thông mạng sẵn có

 Tổng phí xử lý phía client thấp

Tuy nhiên dịch vụ online có hạn chế trong trường hợp cần kiểm tra trạng thái thu hồi nhưng không online .Vấn đề về bảo mật cũng được đặt ra khi sử dụng dịch vụ này.

Một phần của tài liệu Tích hợp chữ ký số cho hộ chiếu điện tử luận văn ths công nghệ thông tin 60 48 01 04 pdf (Trang 35 - 39)

Tải bản đầy đủ (PDF)

(91 trang)