Khái niệm
PKI (Public Key Infrastructure) thực chất là các dịch vụ sử dụng phương thức mã hoá với khoá công khai. Thành phần chính của hệ thống PKI là các thẻ xác nhận. Mỗi thẻ xác nhận có hai thành phần thông tin cơ bản là định danh và khoá công khai của đối tượng sử dụng. Các thẻ xác nhận này do đối tượng quản lý thẻ xác nhận tạo ra và ký với phương thức chữ ký số. Trong một số hệ thống, đối tượng quản lý đăng ký được tách riêng ra khỏi CA. Đối tượng này không tạo ra các thẻ xác nhận. Nó có nhiệm vụ xác minh đối tượng truyền thông tức là quá trình xác thực khi một đối tượng yêu cầu một thẻ xác nhận của CA (Certification Authority) sẽ do RA (Registration Authority) cơ quan đăng ký đảm nhận.
PKI là một dịch vụ nền cho các dịch vụ an toàn an ninh dựa trên các thẻ xác nhận. Trong các hệ thống này, PKI đảm nhận vai trò tạo lập, quản lý và phân phát
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
các thẻ xác nhận cho các đối tượng truyền thông. Tất cả các chức năng quản lý của hệ thống PKI đều hướng tới một yêu cầu duy nhất: Quản lý các đối tượng sử dụng trong hệ thống với khoá công khai của các đối tượng đó.
Các thành phần của PKI: một PKI bao gồm các thành phần sau [10]
Nhà cung cấp chứng thực số (CA - Certification Authority)
Cơ quan đăng ký (RA - Registration Authority )
Client PKI (PKI clients)
Hệ thống quản lý chứng chỉ (Certificate Distribution System)
Chứng chỉ số (Digital certificates)
Nhà cung cấp chứng thực số (CA - Certification Authority)
CA là một bên thứ ba đáng tin cậy xác thực các thực thể tham gia vào một giao dịch điện tử. Để xác thực một thực thể, CA phát hành một chứng chỉ số. Chứng chỉ số này là một tài liệu số thiết lập các thông tin của các đối tượng tham gia trong một giao dịch. Chứng chỉ số phát hành bởi CA, nó chứa thông tin về tên của người đăng ký, khoá bí mật và khoá công khai của người đăng ký, khoá công khai so CA cấp. Thông tin này phụ thuộc vào chính sách của công ty nơi phát hành chứng chỉ số (giấy chứng nhận).
Trước khi cấp một chứng chỉ số, CA xác minh theo yêu cầu cho một giấy chứng nhận với một cơ quan đăng ký (RA). Để xác nhận yêu cầu chứng chỉ, CA sử dụng các thủ tục riêng của nó. Các thủ tục này phụ thuộc vào một chính sách tổ chức và cơ sở hạ tầng có sẵn để xác nhận yêu cầu. Nếu yêu cầu xác nhận, CA phát hành giấy chứng nhận.
Cơ quan đăng ký (RA - Registration Authority )
RA chịu trách nhiệm liên lạc giữa khách hàng và các CA. RA hoạt động như một trung gian giữa CA và máy khách. Các nhiệm vụ sau được thực hiện bởi RA:
Nhận yêu cầu thực thể và xác nhận chúng
Gửi các yêu cầu tới CA
Nhận giấy chứng nhận từ CA
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Các RA đặc biệt hữu ích cho việc mở rộng quy mô ứng dụng PKI trên vị trí các vùng khác nhau. Ví dụ, một CA có thể ủy thác trách nhiệm của mình để các RA khác nhau và phân công một vùng hoạt động cho mỗi RA, chẳng hạn như RA cho khu vực phía Bắc, khu vực phía Nam, vùng phía đông và phía tây.
Client PKI (PKI clients)
Client PKI là các đối tượng yêu cầu CA hoặc RA để cấp giấy chứng nhận. Để có được một giấy chứng nhận số từ một CA, một client PKI cần phải thực hiện các bước sau đây:
Gửi một yêu cầu để tạo ra một cặp chìa khóa công khai – bí mật. Một CA hoặc client có thể làm nhiệm vụ này. Cặp khóa này chứa thông tin các chi tiết về khách hàng. Sau khi cặp khoá được tạo ra, một yêu cầu được gửi đến CA để chứng nhận CA. Yêu cầu này có thể được thực hiện thông qua một RA. Sau khi khách hàng nhận được giấy chứng nhận từ CA, nó có thể sử dụng giấy chứng nhận để xác định chính nó là một người giữ giấy chứng nhận xác thực.
Tất cả các thông tin liên lạc giữa khách hàng và CA được giữ bí mật. Ngoài ra, khách hàng có trách nhiệm đảm bảo sự an toàn của khóa riêng của mình. Bởi vì nếu khóa riêng bị mất thông điệp được mã hóa không thể được giải mã và có thể bị kẻ trộm đọc được các thông điệp của mình. Bạn có thể đảm bảo sự an toàn của khóa bí mật của mình bằng cách sử dụng một số thành phần phần cứng được có sẵn, chẳng hạn như thẻ thông minh và thẻ (token). Token là một thiết bị vật lý, bạn có thể mang theo bên mình và có thể sử dụng để xác thực người sử dụng mạng. Tương tự như vậy, một thẻ thông minh cũng là một thiết bị vật lý, giống như thẻ tín dụng của bạn trong đó có một bộ vi xử lý để lưu trữ thông tin bảo mật. Bộ vi xử lý này không làm việc cho đến khi bạn chỉ rõ mã PIN. Bằng cách này, bạn có thể an toàn cho khoá bí mật của mình.
Như có thể thấy, một thành phần quan trọng của việc triển khai PKI là chứng chỉ số. Giấy chứng nhận này hình thành cơ sở cài đặt một giải pháp PKI.
Chứng chỉ số (Digital certificates)
Điều quan trọng là đảm bảo an ninh cho khóa công khai để tránh trường hợp giả mạo và thay đổi khóa. Vì vậy, phải có một cơ chế toàn vẹn dữ liệu để đảm bảo
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
rằng khóa công khai không được sửa đổi. Tuy nhiên, cơ chế toàn vẹn dữ liệu một mình không đủ để đảm bảo rằng chìa khóa công khai thuộc về chủ sở. Một giải pháp liên kết khóa công khai với tổ chức tin cậy, có thể đảm bảo nhận dạng và xác thực của khóa công khai. :
Thiết lập sự toàn vẹn của khoá công khai.
Ràng buộc khoá công khai và các thông tin liên quan đến chủ sở hữu tin cậy.
Trong môi trường PKI, chứng chỉ số thực hiện được hai mục tiêu trên. Chứng chỉ số đảm bảo rằng chỉ có khoá công khai đại diện cho một giấy chứng nhận đã được xác thực bởi một cơ quan chứng nhận hoạt động với khóa bí mật của chủ thể. Điều này giúp loại bỏ nguy cơ mạo danh.
Chứng chỉ số gồm các thành phần sau:
Số giấy chứng nhận
Chữ ký của CA
Khóa công khai của người dùng do CA cấp
Ngày hết hạn
Tên của CA đã cấp chứng nhận
Sau khi có chứng chỉ số, các thực thể có thể sử dụng nó để giao tiếp với người nhận thông tin theo các bước sau:
1. Người gửi ký thông điệp với khóa riêng của mình để đảm bảo tính toàn vẹn thông điệp và tính xác thực và gửi tin nhắn tới người nhận.
2. Người nhận, sau khi nhận được thông báo, xác minh chữ ký bằng khoá công khai của người gửi và truy vấn cơ sở dữ liệu đích để kiểm tra tính hợp lệ của chứng chỉ số của người gửi.
3. Cở sở dữ liệu đích trả lại kết quả của người đăng ký chứng chỉ số tới người nhận. Giao dịch kết thúc khi giấy chứng nhận là hợp lệ.
CA ký giấy chứng nhận. Để xác minh một chữ ký, khoá công khai của các CA là cần thiết. Khóa công khai là một phần của chứng chỉ số của CA. Các chứng chỉ này thường được cài đặt sẵn trong các trình duyệt Web. Sau khi đã được cấp giấy chứng nhận, nó cần phải được phân phối cho người dùng và các tổ chức. Điều này được thực hiện bởi một hệ thống quản lý chứng chỉ (CDS) hoặc kho lưu trữ.
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
Hệ thống quản lý chứng chỉ (Certificate Distribution System - CDS)
Hệ thống quản lý chứng chỉ phân phối chứng chỉ cho người dùng và các tổ chức. Chứng chỉ có thể phân phối theo hai cách phục thuộc vào cài đặt của PKI trong tổ chức đó. Cách thứ nhất là chúng có thể được phân phối bởi chính người dùng. Cách thứ hai là chúng được phân phối máy chủ sử dụng LDDAP để truy vấn thông tin người dùng được lưu trữ trong cơ sở dữ liệu X.500 phù hợp.
Hệ thống quản lý chứng chỉ phân phối chứng chỉ trong sự hợp tác với thư mục máy chủ. Hệ thống phân phối chứng chỉ được dùng để làm nhiệm vụ sau:
Tạo ra và ban hành các cặp khóa
Xác nhận tính hợp lệ của các khoá công khai bằng cách đăng ký khóa công khai
Thu hồi các khoá hết hạn hoặc bị mất
Công bố các khóa công khai trong các thư mục dịch vụ máy chủ
2.5.3 Chứng thực khóa công khai 2.5.3.1 Khái niệm 2.5.3.1 Khái niệm
Chứng thực khoá công khai hay còn gọi là chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá công khai (public key). Giống như bằng lái xe, hộ chiếu, chứng minh thư hay những giấy tờ nhận diện cá nhân thông thường, chứng chỉ số cung cấp bằng chứng cho sự nhận diện của một đối tượng.
Để lấy được chứng chỉ số bạn cũng cần phải thực hiện các công việc đăng ký tương tự như vậy. Nơi có thể chứng nhận những thông tin của bạn là chính xác được gọi là Nhà cấp chứng chỉ số.