Khi hai người sử dụng muốn truyền dữ liệu với nhau bằng phương pháp mã hóa khóa công khai, trước tiên họ phải trao đổi khóa công khai cho nhaụ Vì đây là khóa công khai nên không cần giữ bí mật việc trao đổi này, khóa có thể truyền công khai trên kênh thường. Alice và Bob, hay bất cứ người nào khác có thể công bố rộng rãi khóa công khai của mình
theo mô hình bên dưới: A IDA||KUA IDA||KUA . .. IDA||KUA IDA||KUA IDB||KUB IDB||KUB . . . IDB||KUB IDB||KUB B
Hình4-4.Traođổikhóacôngkhaitựphát
Tuy nhiên ở đây chúng ta lại gặp phải vấn đề về chứng thực. Làm như thế nào mà Alice có thể đảm bảo rằngKUBchính là khóa công khai của Bob? Trudy có thể mạo danh Bob bằng cách lấy khóaKUT của Trudy và nói rằng đó là khóa công khai của Bob.
Vì vậy, việc trao đổi khóa công khai theo mô hình trên đặt gánh nặng lên vai của từng cá nhân. Alice muốn gửi thông điệp cho Bob hay bất cứ người nào khác thì phải tin tưởng vào khóa công khai của Bob hay của người đó. Tương tự như vậy cho Bob.
Để giảm gánh nặng cho từng cá nhân, một mô hình gọi là „chứng chỉ khóa công khai‟ (public-key certificate) được sử dụng. Trong mô hình này có một tổ chức làm nhiệm vụ cấp chứng chỉ được gọi là trung tâm chứng thực (Certificate Authority – CA). Các bước thực hiện cấp chứng chỉ cho Alice như sau:
1) Alice gửi định danh IDA và khóa công khai KUA của mình đến trung tâm chứng thực.
2) Trung tâm chứng nhận kiểm tra tính hợp lệ của Alice, ví dụ nếu IDA là „Microsoft‟, thì Alice phải có bằng chứng chứng tỏ mình thực sự là công ty Microsoft.
3) Dựa trên cơ sở đó, trung tâm chứng thực cấp một chứng chỉCA để xác nhận rằng khóa công khaiKUA đó là tương ứng vớiIDA. Chứng chỉ được ký chứng thực bằng khóa riêng của trung tâm để đảm bảo rằng nội dung của chứng chỉ là do trung tâm ban hành.
CA=E(IDA||KUA,KRAuth)
(|| là phép nối dãy bít) 4) Alice công khai chứng chỉCA .
5) Bob muốn trao đổi thông tin với Alice thì sẽ giải mãCA bằng khóa công khai của trung tâm chứng thực để có được khóa công khaiKUA của Alicẹ Do đó nếu Bob
73 tin tưởng vào trung tâm chứng thực thì Bob sẽ tin tưởng làKUA là tương ứng với
IDA, tức tương ứng với Alicẹ
Certificate Authority
IDA||KUA IDB||KUB CA=E(IDA||KUA,KRAuth) CB=E(IDB||KUB,KRAuth) A CA CA . . . CB . . CB. B
Hình4-5.Traođổikhóacôngkhaidùngtrungtâmchứngthực
Như vậy có thể thấy rằng nếu Bob muốn gởi thông điệp cho Alice, Cindy, hay Darth…, thì Bob không cần phải tin tưởng vào khóa công khai của Alice, Cindy, hay Darth nữạ Bob chỉ cần tin tưởng vào trung tâm chứng thực và khóa công khai của trung tâm chứng thực là đủ.
Hiện nay mô hình chứng chỉ khóa công khai đang được áp dụng rộng rãi với chuẩn của chứng chỉ là chuẩn X.509. Trên thế giới có khoảng 80 tổ chức chứng thực chứng chỉ khóa công khaị Chúng ta sẽ tìm hiểu chi tiết hơn về chuẩn X.509 trong chương 7.