4.2.3.1. Chứng chỉ số
1/. Giới thiệu về chứng chỉ số
iệc sử dụng ó húa hay ký số chỉ giải quyết được vấn đề về bảo ật thụng điệ và xỏc thực. Tuy nhiờn khụng cú thể đả bảo rằng đối tỏc khụng thể bị giả ạo, trong nhiều trường hợ cần thiết hải “chứng inh” bằng hương tiện điện tử danh tớnh của ai đú.
Một chứng chỉ số là ột tệ tin điện tử được sử dụng để nhận diện ột cỏ nhõn, ột ỏy dịch vụ, ột cụng ty, hoặc ột vài đối tượng khỏc và gắn định danh của đối tượng đú với ột khúa khúa cụng khai, giống như bằng lỏi xe, hộ chiếu, chứng inh thư. Cú ột nơi cú thể chứng nhận cỏc thụng tin của bạn là đỳng và được gọi là cơ quan xỏc thực chứng chỉ (Certificate Authority - CA). Đú là ột đơn vị cú thẩ quyền xỏc nhận định danh và cấ cỏc chứng chỉ số. Thụng thường, trước khi cấ ột chứng chỉ số, CA sẽ cụng bố cỏc thủ tục cần thiết hải thực hiện cho cỏc loại chứng chỉ số.
Trong chứng chỉ số chứa ột khúa cụng khai được gắn với ột tờn duy nhất của ột đối tượng (như tờn của ột nhõn viờn hoặc ỏy dịch vụ). Cỏc chứng chỉ số giỳ ngăn chặn việc sử dụng khúa khúa cụng khai cho việc giả ạo. Chỉ cú khúa cụng khai được chứng thực bởi chứng chỉ số sẽ là việc với khúa bớ ật tương ứng à đối tượng được sở hữu, bởi đối tượng à cú định danh đó được chứng thực nằ trong chứng chỉ số.
Ngoài khúa cụng khai, ột chứng chỉ số cũn chứa thờ thụng tin về đối tượng như tờn à nú nhận diện, hạn dựng, tờn của CA cấ chứng chỉ số, ó số..
Điều quan trọng nhất là ột chứng chỉ số luụn luụn chứa chữ ký số của CA đó cấ chứng chỉ số đú. Nú cho hộ chứng chỉ số như đó được đúng dấu để cho người sử dụng cú thể kiể tra [7].
Chứng chỉ số là một dạng kết hợp giữa 3 thành phần:
- Cỏc thụng tin ụ tả về bản thõn đối tượng: số định danh (duy nhất đối với ột nhà cấ hỏ chứng chỉ số), tờn, địa chỉ e ail, loại chứng chỉ, hạn sử dụng, hạ vi ỏ dụng…
- Khúa cụng khai tương ứng (với 1 khúa bớ ật được giữ riờng)
- Chữ ký điện tử của cơ quan cấ hỏt chứng chỉ số cho cỏc thụng tin trờn.
2/. Chứng chỉ khoỏ cụng khai
Khi ột người (người gửi) thụng bỏo uốn sử dụng kỹ thuật khúa cụng khai để ó húa ột thụng bỏo và gửi cho người nhận, người gửi cần ột bản sao khúa cụng khai của người nhận. Khi ột thành viờn bất kỳ uốn kiể tra chữ ký số - chữ ký số này được thành viờn khỏc sinh ra, thành viờn kiể tra cần ột bản sao khúa cụng khai của thành viờn ký. Chỳng ta gọi cả hai thành viờn ó húa thụng bỏo và thành viờn kiể tra chữ ký số - là những người sử dụng khúa cụng khai.
Một hệ thống chứng chỉ khúa cụng khai là việc như sau: Một CA hỏt hành cỏc chứng chỉ cho những người nắ giữ cặ khúa cụng khai và khúa riờng. Một chứng chỉ gồ ột giỏ trị khúa cụng khai và thụng tin dựng để nhận dạng duy nhất chủ thể (subject) của chứng chỉ. Chủ thể của chứng chỉ cú thể là ột người, thiết bị, hoặc ột thực thể khỏc cú nắ giữ khúa riờng tương ứng (xe hỡnh dưới).
Khi ột chủ thể của chứng chỉ là ột người hoặc ột thực thể hợ hỏ nào đú, chủ thể thường được nhắc đến như là ột thực thể (subscriber) của CA.
Hỡnh 4.8: Chứng chỉ khúa cụng khai dựa trờn CA
Khi cỏc chứng chỉ này được thiết lậ , nhiệ vụ của người sử dụng khúa cụng khai rất đơn giản. Giả thiết rằng, ột người sử dụng khúa cụng khai đó cú khúa cụng khai của CA ột cỏch bớ ật và người sử dụng khúa cụng khai tin cậy CA hỏt hành cỏc chứng chỉ hợ lệ. Khi một kẻ truy nhậ trỏi hộ định là giả ột chứng chỉ khi chứng chỉ này đang được hỏt hành cho những người sử dụng khúa cụng khai, những người sử dụng này sẽ hỏt hiện ra việc là giả này bởi vỡ chữ ký số của CA được kiể tra chớnh xỏc.
3/. Mục đớch và ý nghĩa của chứng chỉ số
Chống giả mạo: Khi bạn gửi đi ột thụng tin, cú thể là ột dữ liệu hoặc ột e ail, cú dựng chứng chỉ số, người nhận sẽ kiể tra được thụng tin của bạn cú bị thay đổi hay khụng. Bất kỳ ột sự sửa đổi hay thay thế nội dung của thụng điệ gốc đều sẽ bị hỏt hiện. Chứng chỉ số thỡ khụng thể là giả, nờn việc trao đổi thụng tin cú kố chứng chỉ số luụn đả bảo an toàn.
Xỏc thực: Khi bạn gửi ột thụng tin kố chứng chỉ số, người nhận - cú thể là đối tỏc kinh doanh, tổ chức hoặc cơ quan chớnh quyền - sẽ xỏc định rừ được danh tớnh của bạn. Cú nghĩa là dự khụng nhỡn thấy bạn, nhưng qua hệ thống chứng chỉ số à bạn và người nhận cựng dựng, người nhận sẽ biết chắc chắn đú là bạn. Xỏc thực là ột tớnh năng rất quan trọng trong việc thực hiện cỏc giao dịch điện tử qua ạng, cũng như cỏc thủ tục hành chớnh với cơ quan hỏ quyền. Cỏc hoạt động này cần hải xỏc inh rừ người gửi thụng tin để dựng tư cỏch hỏ nhõn. Đõy chớnh là nền tảng của ột Chớnh quyền điện tử, ụi trường cho hộ cụng dõn cú thể giao tiế , thực hiện cỏc cụng việc hành chớnh với cơ quan nhà nước hoàn toàn qua ạng. Cú thể núi, chứng chỉ số là ột hần khụng thể thiếu, là hần cốt lừi của Chớnh quyền điện tử.
Chống chối cói nguồn gốc: Khi dựng ột chứng chỉ số, bạn hải chịu trỏch nhiệ hoàn toàn về những thụng tin à chứng chỉ số đi kố . Trong trường hợ người gửi chối cói, hủ nhận ột thụng tin nào đú khụng hải do ỡnh gửi (chẳng hạn ột đơn đặt hàng qua ạng), chứng chỉ số à người nhận cú được sẽ là bằng chứng khẳng định người gửi là tỏc giả của thụng tin đú. Trong trường hợ chối cói, CA cung cấ chứng chỉ số cho hai bờn sẽ chịu trỏch nhiệ xỏc inh nguồn gốc thụng tin, chứng tỏ nguồn gốc thụng tin được gửi.
4.2.3.1. Khuụn dạng chứng chỉ X.509
X.509 là ột định dạng chuẩn – đưa ra bởi International Teleco unication Union-Telecommunication Standardization Sector (ITU-T) và ISO/International Electrotechnical Commission (IEC) – cụng bố lần đầu tiờn vào nă 1988 như là ột hần khuyến cỏo của dịch vụ thư ục X.500 (chỳng ta sẽ núi hần này sau). Định dạng chuẩn X.509 hiờn bản 2 (v2) là sự ở rộng của khuụn dạng chuẩn X.509 hiờn bản 1 (v1) nă 1993, kết hợ thờ hai trường ới hỗ trợ quản lý quyền truy nhậ thư ục. Trong quỏ trỡnh triển khai Internet Privacy Enhanced Mail (PEM) dựa trờn X.509v1 đó cho thấy sự thiếu hụt về tớnh ở cũng như sự ở rộng của khuụn dạng X.509 v1 và v2. Chuẩn X.509 v2 đó được xe xột lại cho hộ bổ sung thờ cỏc trường ở rộng. X.509 version 3 được đưa ra thỏng 6-1996.
ISO/IEC và ANSI X9 đều đó định nghĩa cỏc trường chuẩn ở rộng trong X.509 v3 chẳng hạn cho hộ ang thờ thụng tin về định danh đối tượng, thụng tin về thuộc tớnh khúa, và thụng tin về chớnh sỏch.
1/. Chứng chỉ X.509 v1, v2
Hai trường là Tờn duy nhất của đối tượng (Subject Unique Identifier) và Tờn duy nhất của nhà hỏt hành (Issuer Unique Identifier) khụng cú trong khuụn dạng chứng chỉ X.509 v1.
Cỏc trường của khuụn dạng chứng chỉ như sau:
-Phiờn bản (Version): Chỉ ra khuụn dạng của hiờn bản 1, 2, 3.
-Số hiệu (Serial Number): Số hiệu nhận dạng duy nhất của chứng chỉ này. Nú được CA hỏt hành gỏn cho.
-Tờn thuật toỏn ký (Signature algorithm identifier): Tờn được CA sử dụng để ký chứng chỉ (Sẽ được trỡnh bày chi tiết hơn trong ục Đăng ký đối tượng).
-Người hỏt hành (Issuer): Tờn X.500 của CA hỏt hành (được trỡnh bày chi
tiết hơn trong ục Cỏc tờn X.500).
-Thời gian hợ lệ (Validity Periord): Ngày/giờ bắt đầu và kết thỳc của ột chứng chỉ.
-Chủ thể (Subject): Tờn X.500 của đối tượng nắ giữ khúa riờng, khúa riờng này tương ứng với khúa cụng khai được chứng thực.
-Thụng tin về kh a cụng khai của chủ thể (Subject Public-key Infomation) Gồ cú: giỏ trị khúa cụng khai của chủ thể cựng với ột tờn thuật toỏn sử dụng khúa cụng khai này.
-Tờn duy nhất của người hỏt hành (Issuer unique identifier): Là ột chuỗi bớt tựy chọn, được sử dụng để chỉ ra tờn rừ ràng của CA hỏt hành - trong trường hợ cựng ột tờn được gỏn cho cỏc thực thể khỏc nhau trong cựng thời gian.
-Tờn duy nhất của chủ thể (Subject unique. identifier): Là ột chuỗi bớt tựy chọn, được sử dụng để chỉ ra tờn rừ ràng của chủ thể – trong trường hợ cựng ột tờn được gỏn cho cỏc thực thể khỏc nhau trong cựng thời gian.
2/. Chứng chỉ X.509 v3
ào những nă 1993, 1994, ọi cố gắng nhằ triển khai cỏc chứng chỉ X.509 trờn ột hạ vi đủ lớn được đẩy ạnh. Người ta nhận thấy rằng cỏc khuụn dạng chứng chỉ trong hiờn bản 1 và 2 khụng đỏ ứng được tất cả cỏc yờu cầu. Sau đõy là ột số lý do dẫn đến việc ra đời hiờn bản v3:
Đối tượng cú thể cú cỏc chứng chỉ khỏc nhau với cỏc khúa cụng khai khỏc nhau và giả thiết rằng cỏc cặ khúa cần được cậ nhật định kỳ, do vậy cần hải cú cỏch để hõn biệt cỏc chứng chỉ khỏc nhau của đối tượng này ột cỏch dễ dàng.
Một tờn đối tượng trở thành tờn duy nhất nhưng nú khụng cú đủ thụng tin cho những người sử dụng chứng chỉ khỏc nhận dạng đối tượng, cần cú thờ thụng tin nhận dạng đối tượng ngoài tờn đối tượng.
Một số cỏc ứng dụng cần nhận dạng những người sử dụng thụng qua cỏc dạng tờn xỏc định ứng dụng, ngoài cỏc tờn X.500. ớ dụ trong an toàn thư điện tử, việc gắn kết ột khúa cụng khai với ột địa chỉ thư tớn điện tử.
Trong thực tế, để thỏa ón cỏc yờu cầu (đó biết hoặc chưa biết) trong tương lai, cần bổ sung thờ cỏc trường vào khuụn dạng của chứng chỉ. Cỏc tổ chức chuẩn (như ISO/IEC, ITU và ANSI 19) chấ nhận bổ sung thờ vào chứng chỉ X.509 ột cơ chế ở rộng chung. Kết quả là X.509 cú 3 khuụn dạng chứng chỉ được định nghĩa.
Chứng chỉ trong hiờn bản 3 cú cựng khuụn dạng với cỏc chứng chỉ trong hiờn bản 1, 2, nhưng bổ sung thờ cỏc trường ở rộng.
Hỡnh 4.9b: Khuụn dạng chứng chỉ X.509 v3
Mỗi trường ở rộng cú ột kiểu (cần được đăng ký). Giống với cỏch khi đăng ký ột thuật toỏn, kiểu của trường ở rộng được đăng ký bằng cỏch gỏn cho nú ột tờn đối tượng. Cỏc cộng đồng quan tõ cú thể định nghĩa cỏc kiểu của trường ở rộng nhằ đỏ ứng cỏc nhu cầu riờng của họ.
Đặt tờn trong X.509 v3
Một trong những điể khỏc nhau quan trọng nhất giữa hiờn bản 3 của X.509 và cỏc hiờn bản trước là việc đặt tờn. Một thực thể bất kỳ được nhận dạng thụng qua ột hoặc nhiều tờn (cú cỏc dạng khỏc nhau).
Mỗi tờn rừ ràng (được trỡnh bày ở trờn) đều cú thể dựng để nhận dạng chủ thể. ỡ vậy, khụng cú lý do gỡ à khụng hỏt hành ột chứng chỉ cú chứa tất cả cỏc tờn trờn và bất cứ người nào cũng cú thể sử dụng chứng chỉ nếu biết ớt nhất ột trong cỏc tờn này. Một chứng chỉ như vậy rất tiện lợi.
Cỏc dạng tờn được chấ nhận trong chuẩn X.509 như sau: Địa chỉ thư tớn điện tử;
Tờn domain của Internet; Địa chỉ thư tớn điện tử X.400; Tờn thư ục X.500;
Tờn thành viờn EDI (gồ cú tờn của ột cơ quan gỏn tờn, cộng với tờn của ột thành viờn được cơ quan này gỏn cho);
Tờn của Web Uniform Resource (trong đú URL là ột kiểu hụ);
Địa chỉ IP trờn Internet (tạo thành ột tờn đối tượng, được trỡnh bày chi tiết trong ục đăng ký đối tượng);
Tờn được đăng ký (theo dạng tờn bất kỳ – dạng tờn được đăng ký như là ột đối tượng (như đó trỡnh bày trong thư ục đăng ký đối tượng).
4.2.3.2. Nhà hỏt hành chứng chỉ (Certificate Authority)
CA là ột thành hần thiết yếu trong bất cứ thiết kế PKI nào. Đối với giải hỏ PKI của Microsoft thỡ ột CA là ỏy tớnh chạy hệ điều hành Windows Server (2003 hoặc 2008) được cài đặt dịch vụ Certificate Services. Nú thực thi cỏc nhiệ vụ sau:
Xỏc minh nhận dạng của đối tượng yờu cầu chứng chỉ: CA hải thẩ định nhận dạng của đối tượng đầu cuối (như người dựng, ỏy tớnh, thiết bị ạng, dịch vụ..) trước khi cấ chứng chỉ cho họ. Điều này giỳ đả bảo đối tượng hải cú đủ cỏc quyền hạn cần thiết ới cú thể yờu cầu CA cấ cho ột loại chứng chỉ nào đú.
Cấp phỏt chứng chỉ cho đối tượng yờu cầu: sau khi xỏc inh được nhận dạng của đối tượng, CA cấ loại chứng chỉ được yờu cầu cho đối tượng đú. Mỗi loại chứng chỉ sẽ cú nội dung và ục đớch sử dụng khỏc nhau. ớ dụ, nếu yờu cầu cấ chứng chỉ cho IPSec thỡ kết quả là chứng chỉ này chỉ cú thể được dựng bởi ỏy chủ hoặc ỏy khỏch để xỏc thực cỏc điể đầu cuối trờn kờnh truyền thụng được bảo vệ bởi IPSec.
Quản lý việc thu hồi chứng chỉ: CA sẽ định kỳ hỏt hành CRL sau ột khoảng thời gian định trước. CRL chứa danh sỏch số thứ tự (serial nu ber) của cỏc chứng chỉ đó bị thu hồi và cỏc ó số lý do (reason code) cho việc thu hồi.
4.2.3.3. Kho chứa chứng chỉ LDAP
Thực hiện việc lưu trữ để hõn hối chứng chỉ số của người dựng hệ thống CA
và 1 số thụng tin khỏc tới tất cả người dựng và ứng dụng cần sử dụng. Hệ thống kho
là hệ thống tương thớch LDAP (Lightweight Directory Access Protocol). Cụ thể hệ
thống này hục vụ hệ thống CA bằng việc lưu trữ cỏc thụng tin sau:
- Chứng chỉ số người dựng.
- Danh sỏch cỏc chứng chỉ bị thu hồi. - Thụng tin chớnh sỏch người dựng.
- Cung cấ cơ chế hõn hối chứng chỉ và CRLs đến cỏc thực thể cuối.
4.2.3.4. Cơ quan đăng ký chứng chỉ (Registration Authority)
Registration Authority (RA): đúng vai trũ trung gian giữa CA và người dựng. Khi người dựng cần chứng chỉ số ới, họ gửi yờu cầu tới RA và RA sẽ xỏc nhận tất cả cỏc thụng tin nhận dạng cần thiết trước khi chuyển tiế yờu cầu đú tới CA để CA thực hiện tạo và ký số lờn chứng chỉ rồi gửi về cho RA hoặc gửi trực tiế cho người dựng. Thành hần này là 1 ứng dụng nhằ cung cấ giao diện cho người điều hành hệ thống (người được tin cậy) thực hiện cỏc chức năng của hệ thống CA như:
- Bổ sung người dựng (xỏc thực chứng chỉ người dựng). - Quản lý người dựng và chứng chỉ của họ.
- Quản lý chớnh sỏch an toàn. - Xõy dựng cõy xỏc thực.
4.2.4. Một số mụ hỡnh CA tin cậy cho PKI
X.509 định nghĩa sự tin cậy như sau: “Một thực thể cú thể được núi là tin cậy với một thực thể thứ hai nếu nú (thực thể đầu tiờn ) tạo ra sự đả bảo rằng thực thể thứ hai sẽ thực hiện chớnh xỏc như thực thể thứ nhất mong đợi” [9].
Một thực thể cuối tin cậy một CA khi thực thể cuối cho rằng CA sẽ thiết lậ và duy trỡ sự gắn kết cỏc thuộc tớnh của khoỏ cụng một cỏch chớnh xỏc.
Cú một số mụ hỡnh tin cậy cú thể được ỏp dụng hoặc được đề xuất để sử dụng trong hạ tầng mó khoỏ cụng khai - PKI dựa trờn X.509:
-Single CA Model (mụ hỡnh CA đơn )
-Hierarchical Model (Mụ hỡnh phõn cấ )
-Mesh Model (Mụ hỡnh mắt lưới – mụ hỡnh xỏc thực chộo)
4.2.4.1. Mụ hỡnh CA đơn
Đõy là mụ hỡnh tổ chức CA cơ bản và đơn giản nhất. Trong mụ hỡnh CA đơn chỉ cú một CA xỏc nhận tất cả cỏc thực thể cuối trong miền PKI. Mỗi người sử dụng trong miền nhận khoỏ cụng khai của CA gốc (root CA) theo một số cơ chế nào đú. Trong mụ hỡnh này khụng cú yờu cầu xỏc thực chộo. Chỉ cú một điể để tất cả người sử dụng cú thể kiể tra trạng thỏi thu hồi của chứng chỉ đó được cấ . Mụ hỡnh này cú thể được mở rộng bằng cỏch cú thờm cỏc RA ở xa CA nhưng ở gần cỏc
