PKI là một thuật ngữ dùng để mô tả một tổ chức hoàn thiện của các hệ thống, quy tắc để xác định một hệ thống an ninh. Nhóm đặc trách kỹ thuật Internet (IEFT) X.509 định nghĩa PKI như sau: “PKI là một tập bao gồm phần cứng, phần mềm, con người và các thủ tục cần thiết để tạo lập, quản lý, lưu trữ và hủy các chứng nhận số dựa trên mật mã khóa công khai”. PKI gồm:
Thẩm quyền chứng nhận (CA): có nhiệm vụ phát hành và hủy các chứng chỉ số;
Thẩm quyền đăng ký: có nhiệm vụ ràng buộc khóa công khai với các nhận dạng của các sở hữu khóa;
Các sở hữu khóa: là những người sử dụng được cấp chứng nhận số và sử dụng các chứng chỉ số này để kí các tài liệu số;
Kho lưu các chứng nhận số và danh sách hủy chứng nhận;
Chính sách an ninh: quy định hướng dẫn mức cao nhất về an ninh.
PKI là một khái niệm an ninh quan trọng, các khóa công khai được sử dụng để kiểm tra các chữ ký số (chứng chỉ số) trong kết nối mạng số liệu. Bản thân nó không mang bất cứ thông tin gì về thực thể cung cấp các chữ ký. Công nghệ nối mạng số liệu thừa nhận vấn đề này và tiếp nhận các chứng nhận an ninh, để ràng buộc khóa công khai và nhận dạng thực thể phát hành khóa. Thực thể phát hành khóa lại được kiểm tra bằng cách sử dụng một khóa công khai được tin tưởng đã biết, bằng cách sử dụng một chứng nhận được phát đi từ CA ở phân cấp cao hơn. Các chứng nhận được phát hành và thi hành bởi một thẩm quyền chứng nhận (CA). CA này được phép cung cấp các dịch vụ cho các thực thể được nhận dạng hợp lệ, khi chúng yêu cầu. Để thực hiện được các chức năng đó các CA phải được tin tưởng bởi các thực thể (các thành viên của PKI) dựa trên các dịch vụ mà nó cung cấp.
Tất cả các chứng nhận được ký bởi một khóa riêng của CA, người sử dụng chứng nhận có thể xem, kiểm tra thông tin của chứng nhận đó có hợp lệ hay không bằng cách giải mật mã chữ ký bằng một khóa kiểm tra công khai; có thể kiểm tra, xem nó có phù hợp với MD của nội dung nhận được trong chứng nhận hay không. Chữ ký thường là một MD được mật mã hóa.
Các thành viên PKI có thể thỏa thận thời gian hiệu lực tiêu chuẩn cho một chứng nhận. Vì thế, có thể xác định khi nào một chứng nhận bị hết hạn. Mặt khác thẩm quyền chứng nhận (CA) có thể công bố một danh sách hủy chứng nhận (CRL) để các thành viên PKI biết chứng nhận không còn hợp lệ với CA nữa. Các quan hệ tin tưởng
giữa CA và các thành viên PKI khác phải được thiết lập trước khi diễn ra giao dịch PKI. Các quan hệ này thường nằm ngoài phạm vi PKI và vì thế cũng nằm ngoài phạm vi công nghệ nối mạng. Các quan hệ tin tưởng PKI có thể được thiết lập trên cơ sở địa lý, chính trị, xã hội, dân tộc và có thể mở rộng cho các nền công nghiệp, các nước, các nhóm dân cư hay các thực thể khác được ràng buộc bởi các mối quan tâm chung. Về mặt lý thuyết thì các mô hình tin tưởng PKI có thể dựa trên một CA duy nhất, được sử dụng để tạo lập PKI trên toàn cầu giống như Internet hay một phân cấp phân bố các CA.
Quá trình trao đổi bí mật (khóa chia sẻ phiên hay thông tin để tạo ra khóa này) giữa hai phía A và B được minh họa ở hình 2.4.
Hình 2.4: Nhận thực bằng chữ ký điện tử
Người ký A nhận được khóa công khai từ chứng nhận B. Vì chứng nhận B được ký bởi khóa riêng của thẩm quyền chứng nhận bên B nên nó có thể được kiểm tra tại thẩm quyền chứng nhận bên B bằng khóa công khai mà B nhận được từ thẩm quyền chứng nhận của mình. Đồng thời chứng nhận CA của B lại được kiểm tra bằng khóa công khai nhận được từ CA gốc và khóa này được đảm bảo là hợp lệ, vì nó đã được chuyển thành mã của PKI Client trong modem phần mềm của A. Sau khi đã có được khóa công khai của B, A mật mã hóa bí mật bằng cách sử dụng khóa này. Và sau đó bản tin được mật mã này được gửi đến B cùng với chứng nhận CA của A và tóm tắt bản tin MD của bí mật được mật mã hóa, tính toán theo khóa riêng
Chứng nhận có thể được gửi đi ở các khuôn dạng khác nhau, tiêu chuẩn an ninh được tiếp nhận rộng rãi là X.509 do ITU định nghĩa. Các thực thể công cộng và riêng dựa trên các dịch vụ tin tưởng do một CA chung cung cấp và tiếp nhận. Do vậy, các thành viên của PKI chỉ cần thiết lập quan hệ tin tưởng an ninh với một thành viên của PKI với CA chứ không phải với các thành viên khác. Vì thế có thể định nghĩa PKI ngắn gọn như sau: “PKI như một thực thể ảo kết hợp nhiều thực thể vật lý bởi một tập các chính sách và các quy tắc ràng buộc các khóa chung với các nhận dạng của các thực thể phát hành khóa, thông qua việc sử dụng một thẩm quyền chứng nhận CA”. PKI gồm ba chức năng chính:
Chứng nhận: Chứng nhận hay ràng buộc một khóa với một nhận dạng bằng một chữ ký được thực hiện bởi một thẩm quyền chứng nhận CA. Quá trình chứng nhận bao gồm việc tạo ra một cặp khóa gồm khóa công khai và khóa riêng do người sử dụng tạo ra và tính toán cho CA trong một phần của yêu cầu hay do CA thay mặt người sử dụng tạo ra.
Công nhận hợp lệ: Công nhận có hợp lệ hay là kiểm tra nhận thực được thực hiện bởi một thực thể PKI bất kỳ. Quá trình công nhận hợp lệ bao gồm việc kiểm tra chữ ký do CA phát hành, đối chiếu với danh sách hủy chứng nhận (CRL) và khóa công khai của CA.
Hủy: hủy một chứng nhận hiện có, trước khi nó hết hạn cũng được thực hiện bởi CA. Sau khi chứng nhận bị hủy, CA cập nhật thông tin mới cho CRL. Trong một kịch bản điển hình, khi người sử dụng cần nhận hay công nhận một chứng nhận được trình bày hợp lệ, nó sẽ gửi yêu cầu này đến CA. Sau khi chứng nhận được yêu cầu được phát đi hay tính hợp lệ của nó được kiểm tra, thông tin tương ứng được CA gửi vào một kho chứng nhận, trong đó có cả CRL.