C =E K1 (D K2 (E K1 (M )))
3.2.1Chứng chỉ khoá công khai X.509 – (Đỗ Quang Hải)
Tiêu chuẩn mã hóa nâng cao
3.2.1Chứng chỉ khoá công khai X.509 – (Đỗ Quang Hải)
Chứng chỉ X.509 là định dạng chứng chỉ được sử dụng phổ biến và được hầu hết các nhà cung cấp sản phẩm PKI (public-key infrastructures) triển khai.
Chứng chỉ khoá công khai X.509 được Hội viễn thông quốc tế (ITU) đưa ra lần đầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500.
Chứng chỉ gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trường phụ, những trường phụ này được gọi là trường mở rộng dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống
Phiên bản V1
Phiên bản V2
Version number: xác định số phiên bản của chứng chỉ.
Serial Number: do CA gán, là định danh duy nhất của chứng chỉ.
Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ.
Có thể là thuật toán RSA hay DSA…
Issuer: chỉ ra CA cấp và ký chứng chỉ.
Validity Period: khoảng thời gian chứng chỉ có hiệu lực. Trường này xác
định thời gian chứng chỉ bắt đầu có hiệu lực và thời điểm hết hạn.
Subject: xác định thực thể mà khoá công khai của thực thể này được xác
nhận. Tên của subject phải duy nhất đối với mỗi thực thể CA xác nhận.
Subject public key information: chứa khoá công khai và những tham số
liên quan; xác định thuật toán (ví dụ RSA hay DSA) được sử dụng cùng với khoá.
Issuer Unique ID (Optional): là trường không bắt buộc, trường này cho
phép sử dụng lại tên người cấp. Trường này hiếm được sử dụng trong triển khai thực tế.
Extensions (Optional): chỉ có trong chứng chỉ v.3.
Certification Authority’s Digital Signature: chữ ký số của CA được tính từ
những thông tin trên chứng chỉ với khoá riêng và thuật toán ký số được chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ.
Certification Authority’s Digital Signature: chữ ký số của CA được tính từ những thông tin trên chứng chỉ với khoá riêng và thuật toán ký số được chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ
Ngoài ra chứng chỉ X509 còn một số trường mở rộng, phần mở rộng là những thông tin về các thuộc tính cần thiết được đưa vào đểgắn những thuộc tính này với người
sử dụng hay khoá công. Những thông tin trong phần mở rộng thường được dùng để quản lý xác thực phân cấp, chính sách chứng chỉ, thông tin về chứng chỉ bị thu hồi… Nó cũng có thể được sử dụng để định nghĩaphần mở rộng riêng chứa những thông tin đặc trưng cho cộng đồng nhất định. Mỗi trường mở rộng trong chứng chỉ được thiết kế với cờ “critical” hoặc “uncritical”.
Tính toàn vẹn của chứng chỉ được đảm bảo bằng chữ ký số của CA trên chứng chỉ. Khoá công khai của CA được phân phối đến người sử dụng chứng chỉ theo một số cơ chế bảo mật trước khi thực hiện các thao tác PKI. Người sử dụng kiểm tra hiệu lực của chứng chỉ được cấp với chữ ký số của CA và khoá công khaicủa CA.