Thẻ thông minh là thiết bị có đặc tính bảo mật và tính an toàn cao. Việc kết hợp thẻ thông minh với hạ tầng khóa công khai cho phép bổ xung nhiều tính năng bảo mật có mức độ an toàn cao cho thẻ thông minh. Việc kết hợp các tính năng PKI đã đƣợc các tổ chức chuyển thành chuẩn cho thẻ thông minh. Trong phần này, luận văn trình bày tổng quan về hạ tầng khóa công khai và các thành phần cấu thành hạ tầng khóa công khai.
Cơ sở hạ tầng bảo mật khoá công khai (Public Key Infrastructure – PKI) là một nền tảng cho phép tạo ra các kênh trao đổi thông tin an toàn, dựa trên công nghệ mã hóa khóa công khai.
Mã hoá và chữ ký số đã trở thành một phần không thể thiếu đƣợc đối với thƣơng mại điện tử cũng nhƣ các lĩnh vực đòi hỏi an toàn và bảo mật. PKI cung cấp cơ sở hạ tầng giúp cho việc sử dụng mã hoá và chữ ký số một cách dễ dàng và trong suốt đối với ngƣời sử dụng.
PKI là một khái niệm mô tả toàn bộ nền tảng cơ sở nhằm cung cấp các dịch vụ quản lý truy cập, tính toàn vẹn, tính xác thực, tính bí mật và tính chống chối bỏ. Nền tảng này bao gồm các hệ thống phần mềm nhƣ nhà phát hành chứng chỉ, kho chứa dữ liệu, phần cứng sử dụng hỗ trợ trong quá trình trao đổi khoá, các chính sách ...
PKI đảm bảo cho các giao dịch điện tử cũng nhƣ những phiên kết nối bí mật đƣợc an toàn dựa trên công nghệ mã hoá khóa công khai.
Nhà phát hành chứng chỉ CA là hạt nhân của hệ thống PKI. Thông qua CA hệ thống PKI mới có thể quản lý đƣợc khóa và chứng chỉ. CA là cơ quan duy nhất có quyền phát hành và thu hồi chứng chỉ. Đồng thời áp đặt các chính sách đối với chứng chỉ mà nó phát hành. Trong một hệ thống PKI không chỉ tồn tại một nhà phát hành chứng chỉ mà có thể là một hệ thống các nhà phát hành chứng chỉ. Các CA này quan hệ đƣợc với nhau thông qua chứng chỉ xác nhận của các CA ngang hành cho mình hoặc bởi CA cấp trên.
Trong các hệ thống với phạm vi vật lý rộng lớn, việc CA chứng nhận thông tin định danh của đối tƣợng là rất khó khăn. Một giải pháp cho vấn đề này là CA sử dụng các cơ quan đăng ký địa phƣơng - RA làm đại diện cho CA trong một cộng đồng nhỏ. Các RA không trực tiếp phát hành chứng chỉ, hay quản lý chứng chỉ mà nó chỉ thực hiện công việc xác nhận những thông tin ngƣời dùng cho CA. Đồng thời RA cũng có thể thay mặt ngƣời sử dụng yêu cầu CA phát hành, thu hồi, thay đổi thông tin trên chứng chỉ.
Các chức năng của RA:
Nhận các yêu cầu cấp phát chứng chỉ từ phía ngƣời dùng, chứng nhận các thông tin trên yêu cầu đó.
Gửi yêu cầu phát hành chứng chỉ đến CA. Nhận các chứng chỉ từ CA và trao nó cho chủ thể chứng chỉ.
Nhận yêu cầu thu hồi chứng chỉ từ phía ngƣời dùng, kiểm tra yêu cầu thu hồi và gửi những yêu cầu này cho CA.
Chủ thể chứng chỉlà đối tƣợng đƣợc CA cấp phát chứng chỉ để chứng nhận những thông tin định danh về đối tƣợng, đồng thời còn chứng minh rằng đối tƣợng sở hữu một khoá bí mật tƣơng ứng khoá công khai trong chứng chỉ. Đối tƣợng ở đây có thể là một CA, RA, một con ngƣời, một thiết bị phần cứng hay một đối tƣợng cụ thể... Trong vai trò chủ thể của chứng chỉ mỗi đối tƣợng có những quyền sau trong hệ thống.
Sinh cặp khoá : Để đƣợc cấp phát chứng chỉ chủ thể có thể yêu cầu đƣợc cấp phát cặp khóa công khai/bí mật. Mặc dù nếu PKI áp dụng mô hình này sẽ đảm bảo việc quản lý khóa dễ dàng, và hệ thống sinh khóa tập trung có thể tận dụng đƣợc khả năng của hệ thống để có thể sinh ra những cặp khóa có chất lƣợng. Nhƣng quá trình phân phối khóa an toàn lại phức tạp và khó đảm bảo an toàn. Ngoài ra việc sinh khóa bí mật ở một ví trí thứ ba có thể đánh mất đi tính riêng tƣ cho chủ thể chứng chỉ. Trong thực tế nhiều mô hình PKI còn áp dụng mô hình sinh khóa tại máy khách, tức là đối tƣợng sở hữu chứng chỉ có thể tự sinh và chọn lựa cặp khóa công khai/bí mật đƣợc ghi nhận trong chứng chỉ.
Yêu cầu cấp phát chứng chỉ: Sau khi tạo đƣợc cặp khóa công khai/bí mật, đối tƣợng yêu cầu chứng chỉ có quyền yêu cầu một trung gian RA , hoặc yêu cầu trực tiếp với CA để đƣợc cấp phát chứng chỉ. Sau khi xác thực những thông tin mà đối tƣợng yêu cầu chứng chỉ cung cấp, nhà phát hành chứng chỉ CA có thể ký, cung cấp một chứng chỉ mới cho đối tƣợng yêu cầu chứng chỉ.
Yêu cầu thu hồi chứng chỉ: Khi đối tƣợng sử dụng chứng chỉ không cần chứng chỉ nữa, hoặc khả nghi việc lộ mất khóa bí mật, chủ thể chứng chỉ hoàn toàn có quyền yêu cầu hệ thống thu hồi chứng chỉ của chính nó.
Yêu cầu thay đổi thông tin trên chứng chỉ: Tức là thay chứng chỉ cũ bằng chứng chỉ mới nhƣng giữ nguyên các trƣờng thông tin, chỉ thay đổi những trƣờng thông tin theo yêu cầu của chủ thể chứng chỉ.
PKI cung cấp cho các đối tƣợng sử dụng chữ ký số và mã hoá số. Các chƣơng trình sử dụng chứng chỉ cung cấp dịch vụ đảm bảo tính trong suốt cho ngƣời sử dụng. Nó thực hiện các thao tác xác thực chứng chỉ, quản lý chứng chỉ từ phía ngƣời dùng, sử dụng chứng chỉ cho những mục đích mã hoá, ký số của ngƣời sử dụng. Các chƣơng trình sử dụng chứng chỉ là đối tƣợng phục vụ chính của PKI. PKI đƣợc xây dựng để đảm bảo rằng các ứng dụng có thể tìm kiếm thông tin cần thiết một cách nhanh chóng và chính xác nhất.
Song song với sự phổ biến của hạ tầng khóa công khai, các ứng dụng thẻ thông minh (đặc biệt là các ứng dụng yêu cầu tính bảo mật cao) đã tích hợp với hạ tầng khóa công khai. Các chuẩn đặc tả liên quan tới hạ tầng khóa công khai, hỗ trợ mã hóa, ký số cũng đƣợc đƣa dần vào đặc tả và sử dụng rộng rãi. Các đơn vị sản xuất thẻ bƣớc đầu đƣa ra các sản phẩm hỗ trợ PKI với giá thành phù hợp. Tuy nhiên việc phát triển sản phẩm có yêu cầu PKI lại phụ thuộc lớn vào hạ tầng thông tin tại mỗi đơn vị, mỗi quốc gia. Việc lựa chọn giải pháp cũng đồng thời phụ thuộc vào hạ tầng khóa công khai.