Quá trình xác định liệu chứng chỉ đã cấp phát có đƣợc sử dụng đúng mục đích hay không đƣợc xem là quá trình kiểm tra tính hiệu lực của chứng chỉ. Quá trình này bao gồm một số bƣớc:
- Kiểm tra liệu có đúng là CA đƣợc tin tƣởng đã ký số lên chứng chỉ hay không (xử lý theo đƣờng dẫn chứng chỉ).
- Kiểm tra chữ ký số của CA trên chứng chi để kiểm tra tính toàn vẹn. - Xác định xem chứng chỉ còn trong thời gian hiệu lực hay không. - Xác định xem chứng chỉ đã bị thu hồi hay chƣa.
- Xác định xem chứng chỉ đang đƣợc sử dụng có đúng mục đích, chính sách, giới hạn hay không (bằng cách kiểm tra các trƣờng mở rộng cụ thể nhƣ mở rộng chính sách chứng chỉ hay việc mở rộng việc sử dụng khóa).
2.2.3.3. Một số chức năng khác
Ngoài các chức năng trên thì hệ thống PKI còn một số chức năng sau:
Đăng ký:
Đăng ký là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để đăng ký các thông tin và xin cấp chứng chỉ. RA và CA là những thực thể trong quá trình đăng ký. Quá trình đăng ký phụ thuộc vào chính sách của tổ chức. Nếu chứng chỉ đƣợc cung cấp với mục đích dùng cho những hoạt động bí mật thì sử dụng phƣơng pháp gặp mặt trực tiếp. Nếu chứng chỉ chỉ đƣợc sử dụng cho những mục đích, hoạt động bình thƣờng thì có thể đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử.
35
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Khi hệ thống trạm của chủ thể nhận đƣợc các thông tin cần thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu. Những thông tin này có thể là khóa công khai của CA, chứng chỉ của CA, cặp khóa công khai/khóa bí mật của chủ thể.
Một số hệ thống khác sử dụng cơ chế dựa trên password trong giai đoạn khởi tạo. Ngƣời dùng cuối liên lạc với CA khi nhận đƣợc password và sau đó thiết lập một kênh bảo mật để truyền những thông tin cần thiết. Giai đoạn khởi tạo thƣờng tiếp tục với quá trình chứng thực.
Khôi phục cặp khóa
Hầu hết hệ thống PKI tạo ra hai cặp khóa cho ngƣời sử dụng cuối, một để ký số và một để giải mã. Lý do tai sao hai cặp khóa khác nhau xuất phát từ yêu cầu khôi phục và sao lƣu dự phòng khóa.
Tùy theo chính sách của tổ chức, bộ khóa mã (mã hóa và giải mã) và những thông tin liên quan đến khóa của ngƣời sử dụng phải đƣợc sao lƣu để có thể lấy lại đƣợc dữ liệu khi ngƣời sử dụng mất khóa riêng hay rời khỏi đơn vị.
Còn khóa để ký số đƣợc sử dụng tùy theo mục đích cá nhân nên không đƣợc sao lƣu. Riêng khóa bí mật của CA thì đƣợc sao lƣu dự phòng trong một thời gian dài để giải quyết những vấn đề nhầm lẫn có thể xảy ra trong tƣơng lai. Hệ thống PKI có những công cụ để thực hiện chức năng sao lƣu và khôi phục khóa.
Tạo khóa
Cặp khóa công khai/khóa bí mật có thể tạo ra ở nhiều nơi. Chúng có thể đƣợc tạo ra bằng phần mềm phía client và đƣợc gửi đến CA để chứng thực.
CA cũng có thể tạo ra cặp khóa trƣớc khi chứng thực. Trong trƣờng hợp này CA tự tạo cặp khóa và gửi khóa bí mật này cho ngƣời sử dụng theo một cách an toàn. Nếu khóa do bên thứ ba tạo ra thì những khóa này phải đƣợc CA tin cậy trong miền xác nhận trƣớc khi sử dụng..
Hạn sử dụng và cập nhật khóa
Một trong những thuộc tính của chứng chỉ là thời gian hiệu lực. Thời gian hiệu lực của mỗi cặp khóa đƣợc xác định theo chính sách sử dụng. Các cặp khóa của ngƣời sử dụng nên đƣợc cập nhật khi có thông báo về ngày hết hạn. Hệ thống sẽ
36
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
thông báo về tình huống này trong một thời gian nhất định. Chứng chỉ mới sẽ đƣợc ngƣời cấp công bố tự động sau thời gian hết hạn.
Xâm hại khóa.
Đây là trƣờng hợp không bình thƣờng nhƣng nếu xảy ra thì khóa mới sẽ đƣợc công bố và tất cả ngƣời sử dụng trong hệ thống sẽ nhận thấy điều này. Xâm hại đến khóa của CA là một trƣờng hợp đặc biệt. Và trong trƣờng hợp này thì CA sẽ công bố lại tất cả các chứng chỉ với CA – Certificate mới của mình.
Thu hồi
Chứng chỉ đƣợc công bố sẽ đƣợc sử dụng trong khoảng thời gian có hiệu lực. Nhƣng trong trƣờng hợp bị xâm hại hay có sự thay đổi trong thông tin của chứng chỉ thì chứng chỉ mới sẽ đƣợc công bố, chứng chỉ cũ sẽ bị thu hồi.
Công bố và gửi thông báo thu hồi chứng chỉ
Một chứng chỉ đƣợc cập cho ngƣời sử dụng cuối sẽ đƣợc gửi đến cho ngƣời nắm giữ và hệ thống lƣu trữ để có thể truy cập công khai. Khi một chứng chỉ bị thu hồi vì một lý do nào đó, tất cả ngƣời sử dụng trong hệ thống sẽ đƣợc thông báo về việc này.
Xác thực chéo
Xác thực chéo đƣợc thiết lập bằng cách tạo chứng chỉ CA xác thực lẫn nhau. Nếu CA – 1 và CA – 2 muốn thiết lập xác thực chéo thì cần thực hiện một số bƣớc sau:
+ CA -1 công bố CA – Certificate cho CA – 2 + CA – 2 công bố CA – Certificate cho CA - 1
+ CA – 1 và CA -2 sẽ sử dụng những trƣờng mở rộng xác định trong chứng chỉ để đặt giới hạn cần thiết trong CA – certificate. Việc xác thực chéo đòi hỏi phải có sự kiểm tra cẩn thận các chính sách PKI.
Nếu cả hai đều có cùng hoặc tƣơng tự chính sách của nhau thì việc xác thực chéo sẽ có ý nghĩa. Ngƣợc lại sẽ có những tình huống không mong muốn xuất hiện trong trƣờng hợp chính sách PKI của một miền trở thành một phần của miền khác.
37
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
2.2.4. Chữ ký số
2.2.4.1 Khái niệm
Chữ ký số ra đời cùng với kỹ thuật mã hóa bất đối xứng, nó giải quyết đƣợc vấn đề kí dấu đặc trƣng trƣớc đó không thể thực hiện đƣợc trong hệ mật mã đối xứng. Ngày nay nó trở thành một ứng dụng phổ biến trong giao dịch điện tử.
Để sử dụng chữ ký số thì ngƣời dùng phải có một cặp khoá gồm khoá công khai (public key) và khoá bí mật (private key). Khoá bí mật dùng để tạo chữ ký số, khoá công khai dùng để thẩm định chữ ký số hay xác thực ngƣời tạo ra chữ ký số đó.
Trên thực tế, có thể dùng định nghĩa về chữ ký điện tử cho chữ ký số.
2.2.4.2. Ưu điểm của chữ ký số
Việc sử dụng chữ ký số mang lại nhiều ƣu điểm khi cần xác định nguồn gốc và tính toàn vẹn của văn bản trong quá trình sử dụng.
- Khả năng xác định nguồn gốc
Việc giả mạo và sao chép lại đối với “văn bản số” là việc hoàn toàn dễ dàng, không thể phân biệt đƣợc bản gốc với bản sao. Nhƣ vậy “chữ ký” ở cuối “văn bản số” không thể chịu trách nhiệm đối với toàn bộ nội dung văn bản loại này. Do đó chữ ký thể hiện trách nhiệm đối với toàn bộ “văn bản số” phải là “chữ ký số” đƣợc kí trên từng bit của văn bản loại này. Bản sao của “chữ ký số” có tƣ cách pháp lí.
Các hệ thống mật mã hóa khóa công khai cho phép mã hóa “văn bản số” với khóa bí mật mà chỉ có ngƣời chủ của khóa biết.
Để tạo chữ ký số thì văn bản cần phải đƣợc đƣa qua hàm băm để tạo một đại diện cho văn bản và đại diện này là duy nhất. Giá trị băm đóng vai gần nhƣ một khóa để phân biệt các khối dữ liệu. Sau đó dùng khoá bí mật của ngƣời chủ khóa để mã hóa, khi đó ta đƣợc chữ ký số. Khi cần kiểm tra, bên nhận giải mã với khóa công khai để lấy lại hàm băm và kiểm tra với hàm băm của văn bản nhận đƣợc. Nếu hai giá trị này khớp nhau thì bên nhận có thể tin tƣởng rằng văn bản đó xuất phát từ ngƣời sở hữu khóa bí mật.
38
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Cả hai bên tham gia vào quá trình thông tin đều có thể tin tƣởng là văn bản không bị sửa đổi trong khi truyền vì nếu văn bản bị thay đổi thì hàm băm cũng sẽ thay đổi và lập thức bị phát hiện. Hàm băm kết hợp với “chữ ký số” sẽ tạo ra một loại “chữ ký điện tử ” vừa an toàn (không thể cắt / dán), vừa có thể dùng để kiểm tra tính toàn vẹn của thông điệp. Quy trình mã hóa sẽ ẩn nội dung đối với bên thứ ba.
- Tính không thể phủ nhận
Chữ ký thông thƣờng đƣợc kiểm tra bằng cách so sánh nó với chữ ký gốc.Ví dụ, ai đó kí một tấm séc để mua hàng, ngƣời bán phải so sánh chữ ký trên mảnh giấy với chữ ký gốc nằm ở mặt sau của thẻ tín dụng để kiểm tra. Nhƣng đây không phải là phƣơng pháp an toàn vì nó dễ dàng bị giả mạo. Trong giao dịch, một bên có thể từ chối nhận một văn bản nào đó là do mình gửi.
Để ngăn ngừa khả năng này, bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký số với văn bản. Khi có tranh chấp, bên nhận sẽ dùng chữ ký này nhƣ một chứng cứ để bên thứ ba giải quyết.
* Lợi ích khi sử dụng chữ ký số của doanh nghiệp
- Việc ứng dụng chữ ký số giúp doanh nghiệp tiết kiệm thời gian, chi phí hành chính. Hoạt động giao dịch điện tử cũng đƣợc nâng tầm đẩy mạnh. Không mất thời gian đi lại, chờ đợi.
- Không phải in ấn các hồ sơ.
- Việc ký kết các văn bản ký điện tử có thể diễn ra ở bất kỳ đâu, bất kỳ thời gian nào.
- Việc chuyển tài liệu, hồ sơ đã ký cho đối tác, khách hàng, cơ quan quản lý… diễn ra tiện lợi và nhanh chóng.
2.2.4.3. Cách tạo chữ ký số Sơ đồ tạo chữ ký số:
39
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hình 2.3 Qui trình tạo chữ ký số
Giai đoạn kí tại nơi gửi:
Với các yêu cầu nói trên, ngƣời ta tạo ra chữ ký số qua các bƣớc: - Tính giá trị băm của thông điệp cần kí (tạo đại diện) :
- Mã hoá “đại diện” bằng khoá riêng (private key) của ngƣời gửi để tạo ra “chữ ký số”.
- Ngƣời gửi gắn thông điệp và chữ ký số vừa tạpvà gửi đi.
Vì chữ ký số đƣợc kí trên từng bit của “văn bản số”, nên độ dài của nó ít nhất cũng bằng văn bản cần kí. Nhƣ vậy sẽ tốn kém chỗ nhớ cũng nhƣ thời gian ký và thời gian truyền chữ ký số. Trên thực tế thay vì kí trên “văn bản số”, ngƣời ta kí trên “đại diện” (Digest) của nó. Để ký trên “văn bản số” dài, đầu tiên phải tạo “đại diện” của văn bản nhờ “hàm băm”. Một thông điệp đƣợc đƣa qua hàm băm sẽ tạo ra xâu bit với độ dài cố định và ngắn hơn đƣợc gọi là “đại diện”. Mỗi thông điệp đi qua một hàm băm chỉ cho duy nhất một “đại diện”. Ngƣợc lại, “khó” tìm đƣợc 2 thông điệp khác nhau mà có cùng một “đại diện” (ứng với cùng một hàm băm).
Mã hóa giá trị băm bằng khóa riêng của ngƣời gửi: Đây chính là bƣớc áp dụng thuật toán mã hóa bất đối xứng. Sử dụng khóa riêng để mã hóa chính là phƣơng pháp làm cho chữ ký số chứa đặc trƣng của ngƣời kí, vì hệ PKI chỉ cấp khóa riêng, mà tổng quát hơn là cặp khóa khác nhau cho từng ngƣời dùng.
40
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hình 2.4 Qui trình tạo chữ ký
* Giai đoạn định xác thực Chữ ký tại nơi nhận:
- Ngƣời nhận tách thông điệp và chữ ký nhận đƣợc, giải mã chữ ký bằng khoá công khai của ngƣời gửi để lấy “đại diện” ra.
- Cho thông điệp qua hàm băm để tạo ra “đại diện” mới. - So sánh “đại diện” mới với “đại diện” nhận đƣợc.
Nếu chúng giống nhau thì ngƣời nhận có thể vừa định danh đƣợc ngƣời gửi, vừa kiểm tra tính toàn vẹn của thông điệp.
Nếu không khớp tức là hoặc nội dung hoặc chữ ký đã bị thay đổi trên đƣờng truyền, hoặc cũng có thể chữ ký không đƣợc tạo ra bởi khóa riêng đúng của ngƣời gửi (giả mạo chữ ký);
41
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Cần có sự thống nhất về thuật toán băm và thuật toán mã hóa đƣợc sử dụng giữa bên gửi và bên nhận để quá trình xác thực có thể diễn ra thành công. Các thuật toán này đƣợc qui định bởi chính sách của hệ PKI và đƣợc ghi nhận nhƣ một phần nội dung chứng thƣ số, và do đó các bên có thể đọc và xác định đƣợc thuật toán chính xác cần sử dụng.
2.2.5. Chứng chỉ số
Việc sử dụng mã hóa hay ký số chỉ giải quyết đƣợc vấn đề bảo mật và xác thực thông điệp. Tuy nhiên “khó” thể đảm bảo rằng ngƣời ký là đối tác thật. Trong nhiều trƣờng hợp cần thiết phải “chứng minh” bằng phƣơng tiện điện tử danh tính của ai đó. Ví dụ phải “chứng minh” rằng ngƣời ngƣời ký là “chủ đích thực” hiện thời của chìa khóa ký.
Một cách giải quyết là dùng “Chứng chỉ số” để xác nhận “chủ đích thực” hiện thời của khóa công khai.
2.2.5.1. Định nghĩa
Chứng chỉ số là sự gắn kết giữa khóa công khai của thực thể với một hoặc nhiều thuộc tính liên quan đến thực thể. Thực thể có thể là ngƣời, thiết bị phần cứng nhƣ máy tính, router hay một phần mềm xử lý. Một chứng chỉ khóa công khai đƣợc trung tâm cấp chứng chỉ cấp, đảm bảo sự gắn kết giữa khóa công khai với thực thể sở hữu khóa.
Trong mật mã học, chứng thực khóa công khai (còn gọi là chứng thực số/chứng thực điện tử) là một chứng thực sử dụng ký số để gắn kết một khóa công khai với một thực thể (cá nhân, máy chủ hoặc công ty...). Một chứng thực khóa công khai tiêu biểu thƣờng bao gồm khóa công khai và các thông tin (tên, địa chỉ...) về thực thể sở hữu khóa đó. Chứng thực điện tử có thể đƣợc sử dụng để kiểm tra một khóa công khai nào đó thuộc về ai.
Chứng chỉ số là một tệp tin điện tử dùng để nhận diện một cá nhân, một máy dịch vụ, một thực thể nào đó. Nó gắn định danh của đối tƣợng đó với một khóa công khai, giống nhƣ bằng lái xe, hộ chiếu, chứng minh thƣ.
Một nơi có thể chứng nhận các thông tin của một thực thể là đúng là cơ quan xác thực chứng chỉ CA. Đó là một đơn vị có thẩm quyền xác nhận định danh và cấp
42
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
các chứng chỉ số. CA có thể là một đối tác thứ ba độc lập hoặc tổ chức tự vận hành một hệ thống tự cấp các chứng chỉ cho nội bộ.
Các phƣơng pháp để xác định định danh phụ thuộc vào các chính sách mà CA đặt ra. Chính sách lập ra phải đảm bảo việc cấp chứng chỉ số phải đúng đắn, ai đƣợc cấp và mục đích dùng vào việc gì. Thông thƣờng, trƣớc khi cấp một chứng chỉ số, CA sẽ công bố các thủ tục cần thiết phải thực hiện cho các loại chứng chỉ số.
2.2.5.2. Chức năng của chứng chỉ số
Chứng chỉ số chứa khóa công khai, đƣợc gắn với một tên duy nhất của một đối tƣợng (nhƣ tên của một cá nhân hay máy dịch vụ). Chứng chỉ số giúp ngăn chặn việc sử dụng khóa công khai cho việc giả mạo. Chỉ có khóa công khai đƣợc chứng thực bởi chứng chỉ số sẽ làm việc với khóa bí mật tƣơng ứng. Nó đƣợc sở hữu bởi