Trong phần này NVLV trình bày các quá trình trong quản lý chứng chỉ như phát hành, cập nhật, tạm treo và thu hồi các chứng chỉ. Các quá trình này bị chi phối bởi các yêu cầu và các quá trình dành cho việc tự quản lý các cặp khoá công khai và khoá riêng. Trong thực tế, quá trình sinh cặp khoá và quá trình tạo chứng chỉ đôi khi được kết hợp chặt chẽ.
Quá trình sinh cặp khoá
Khi một khoá mới được sinh ra, cần chuẩn bị chuyển giao an toàn:
- Chuyển giao khoá riêng cho đối tượng nắm giữ cặp khoá của hệ thống. Nếu có yêu cầu sao chép dự phòng, cần chuyển giao khoá riêng cho hệ thống này, và
- Chuyển giao khoá công khai cho một hoặc nhiều CA sử dụng trong quá trình tạo chứng chỉ.
Hệ thống lưu giữ cặp khoá: Cặp khoá được sinh ra trong cùng một hệ thống
(trong cùng một thẻ bài phần cứng hoặc modun phần mềm), sau đó khoá riêng sẽ được lưu giữ và sử dụng.
Hệ thống trung tâm: Cặp khoá được sinh ra trong một hệ thống trung tâm
nào đó, có thể liên kết với một CA và khoá riêng được chuyển tới hệ thống lưu giữ cặp khoá (được trình bày ở trên) một cách an toàn.
Bảo vệ khoá riêng
Các khoá riêng được bảo vệ thông qua các giải pháp sau:
- Lưu giữ trong một modul phần cứng thường trú hoặc thẻ bài. Ví dụ như một thẻ thông minh hoặc thẻ PCMCIA.
- Lưu giữ trên một file dữ liệu được mã hoá trong một hệ thống máy tính hoặc một thiết bị lưu giữ dữ liệu thông thường.
Trong trường hợp khác, tránh truy nhập vào khoá bằng cách sử dụng một hoặc nhiều kỹ thuật xác thực cá nhân.
Thông thường, giải pháp (a) có thể cho an toàn cao hơn giải pháp (b) nhưng chi phí lại quá cao. Giải pháp (b) đôi khi được sử dụng để bảo vệ một hoặc nhiều khoá riêng và/hoặc thông tin nhạy cảm có trong một cơ sở dữ liệu
Cập nhật cặp khoá
Việc cập nhật các cặp khoá nên được thực hiện một cách thường xuyên và định kỳ, đáp ứng các điều kiện đặc biệt, ví dụ khi nghi ngờ khoá riêng bị lộ. Khi một cặp khoá mới được sinh ra, cần phải tạo ra một chứng chỉ mới cho khoá công khai này. Tuỳ thuộc vào các điều kiện đặc biệt xung quanh việc cập nhật khoá, người ta có thể thu hồi chứng chỉ trước đó.
Như chúng ta đã biết, thuật toán RSA có đặc tính hấp dẫn. ít nhất về mặt lý thuyết, một cặp khoá có thể được sử dụng cho cả hai mục đích là mã hoá và chữ ký số.
Bây giờ chúng ta xem xét các yêu cầu quản lý đối với các kiểu cặp khoá. Trước hết với các cặp khoá dùng cho chữ ký số, có các yêu cầu như sau:
- Khoá riêng của một cặp khoá phải được lưu giữ trong suốt thời gian tồn tại của nó.
- Không cần sao lưu một khoá riêng dùng cho chữ ký số phòng trường hợp mất khoá bởi nếu một khoá bị mất, một cặp khoá mới có thể được sinh ra một cách dễ dàng.
- Khoá công khai dành cho chữ ký số cần phải sao lưu. Khoá này được dùng để kiểm tra các chữ ký cũ tại một thời điểm bất kỳ sau khi khoá riêng tương ứng được sinh ra và được sử dụng.