I Phân loại an toàn máy tính
7. CRL của X.509
Bổ xung thêm vào khuôn cỉạng chứng chỉ đã được trình bày trong mục V, chuẩn X.509 của ISO/IEC/ITÙ cũng định nghĩa một khuôn dạng CRL chuẩn.
7.1 Khuôn dạng CRL
Cũng giống như khuôn dạng chứng chỉ, khuôn dạng CRL của X.509 liên tục đưực phát triển lừ khi nó xuất hiện vào năm 1988. Nói riêng, lừ khi cơ chế trường mở rộng được thêm vào chứng chỉ để tạo ra phiên bản 3, kiểu cơ chế này cũng được thêm vào CRL để lạo ra phiên bản 2 của CRL. Khuôn dạng CRL này đưực Irình bày trong hình HCA9.
Các trường được biểu diễn như sau:
(a) P hiên bản (Version): Chỉ ra khuôn dạng CRL thuộc phiên bản 1 hoặc 2, tính cho cả các phiên bản trong iưưng lai. Đối với phiên bản
1, trường này được bỏ qua và các trường (h) và (i) không được phép. (b) Tên thuật toán ký ịSignature): Chỉ ra thuật toán được sử dụng Irong
khi ký CRL.
Các •hứng chỉ bị Im V bỏ
Phiên bản ( của khuôn dạng C R L ) T huật toán ký(dành cho C R L Issuer)
T ên cùa C R L Issuer (Tên X .500) Thời gian cộp nliậl hiện thời (giờ/ngày) Thời gian cập nhật tiếp lh eo (giờ /n gày)(lu ỳ chọn)
C ác trường m ở l ộng của C RL
C hữ ký số của C R L Issuer S ố hiệu chứ ng chỉ
của người sử dụng
N gày huỷ bỏ
C ác trường inở 1 ộng của C R L en íry S ố hiệu chứ ng chỉ
của người sử dụng
N gày huý bỏ
C ác írường m ở rộng củii C R L en lry
Số hiệu chứng chỉ của người SỪ dụng
N gày hu ỷ bỏ
C ác trường II1Ở rộng của C R L en íry
K hoá riêng cùa C R L Issuer
/ r \
H ì n h H C A 9 . K h u ô n d ạ n g C R L c ủ a X .5 0 9
(c) Người phát hành ịIssuer): Tên của cư quan phái hành C R L này. (tl) T hòi gian cập nh ậ t hiện thòi (This Updaíe): Ngày và giờ phái hành
C R L này.
(c) Thòi gian cập nhật tiếp theo (N ext Update): Ngày và giờ phái hành C R L tiếp theo. Đây là một Irưòng íuỳ chọn, trường này có thể được bỏ qua nếu lất cả những người sử dụng của CRL biết được chu kỳ phát hành. Tuy nhiên, trường này được khuyến nghị không nên bỏ qua.
(0 Sô hiệu chứng ch ỉ của người sử dụng (User Certìjĩcate)\ Sô hiệu của chứng chỉ bị huỷ bỏ hoặc bị lieo.
(g) N gày thu hồi (Revocation): Ngày bắl đầu có hiệu lực huỷ bỏ hoặc treo một chứng chỉ.
(h)C ác trường m ở rộng của C R L entry (C R L E ntry Extensionsỳ. Đây là các trường bổ xung, kiểu của các trường này phải được đăng ký và có thể được gán cho mỗi entry thu hồi.
(i) Các trường m ở rộng của C R L (C RL Extensions): Đây là các trường bổ xung, kiểu của các trường này phải được đăng ký và có thể đưực gán cho CRL đầy đủ.
Cơ c h ế trường mở rộng được sử dụng cho (h) và (i) tưưng lự với cư chế trường mở rộng đã đưực sử dụng cho khuôn dạng X.509, nó cũng có chỉ háo thiết yếu (xem mục V).
Một lập hợp các trường mơ rộng của CRL và các trường mở lộng của
CRL ciìiry được các tổ chức ISO/IEC, 1 TU và ANSI 19 phát triển. Chúng được cồng hố song song với các Irường mở rộng chuẩn của chứng chỉ.
Các trường mở rộng chuẩn có thể được chia nhỏ thành các mảng sau đây ■ Các Irường mở rộng chung; ■ Các điểm phân tán CRL; ■ Các D elta-C RL; ■ Các CRL gián tiếp; * Việc Ireo chứng chỉ. 7.2 C ác trường mở rộng chung
Các Irường mở rộng chung như sau:
■ Sô th ứ tự C R L (C R L num ber): Đây là một trường mở rộng của CRL. Trường này chứa mộl số lliứ tự tăng dán - gán cho mỗi CRL khi nó được phái hành. Trường số thứ lự này giúp cho người sử dụng chứng chỉ biết đưực nếu ihiếu một Irong các CRL cũ; nó cũng hỗ trự cho đặc tính dơlla- CRL.
■ M ã lý do (Reason Code)\ Đíìy là mội Irường mở rộng của CRL enlrv.
Trường này đưa ra lý do của việc ihu hồi chứng chí. Mộl số ứng dụng có thổ sử dụng trực tiếp lý do ihu hổi này hằng cách thông tin phản hổi cho người sử dụng, hoặc bằng cách phản ứng khác nhau với các lý do khác nhau.
■ Ngày hết hiệu lực ịlnvalidity DateỴ. Đày là mộl lrường mở rộng của CRL Cìiìry. Trường này chỉ ra một ngày - Irong ngày này, một khoá bị ihu hồi vì các lý do thoả hiệp.
Đối với trường mở lộng Reason code, nó có các giá trị được định nghĩa như sau:
■ S ự thoả hiệp khoá (Key Compromise)-. Chứng chỉ của một thực thể cuối
(end-eiuily) bị ihu hồi vì lý do thoả hiôp hoặc nghi ngờ có thoả hiệp.
■ S ự th o ả hiệp của CA (CA Com prom ise): Chứng chỉ của CA bị Ihu hồi vì lý do thoả hiệp hoặc nghi ngờ có thoả hiệp.
■ T hông tin gốc bị thay đổi (Affiliacation C hanged): Tên của chủ thể hoặc các Ihồng tin khác về chủ Ihổ (có trong chứng chỉ) bị Ihay đổi.
■ C huyên nhượng (Superceded): Chứng chỉ đã đưực chuyển nhượng.
■ C hấm dứt hoạt động (Cessation o f Operatỉon): Chứng chỉ không còn cẩn thiếl cho mục đích han đẩu.
Trong trường m ở lộng Reason cơde cỏ hai giá Irị đặc biệl: + Rem ove fro m C R L đưực trình bày trong mục Delta-CRL.
+ Certijĩcaíe H old được trình bày trong m ục "Treo chứng ch ỉ".
Cả hai trường mở rộng: Aiilhoriíy Key Ideìitifier và Issuer Alternalive Name đưực sử dụng như các trường mở rộng của chứng chỉ (đã trình bày trong mục V), cũng có thể được sử dụng như trường mở lộng của CRL. Chúng đưực sử dụng đổ nhạn dạng khoá dùng khi ký và cho phép nhận dạng người phát hành CRL Ihông qua các dạng tên không phải là tên X.500.
7.3 C ác điểm phân tán C R L
Kích cỡ tối đa của m ột CRL rất quan trọng. Với các CRL được phát hành định kỳ, khi mội hệ thống sử dụng một chứng chỉ, hộ thống này cần tìm về một CRL và xử lý nó (như kiểm tra chữ ký chữ ký trên CRL đầy đủ). Nếu các C R L quá lớn, sẽ nảy sinh các vấn đề vồ hiệu năng do các chi phí truyền Ihông và các chi phí xử lý irong các hệ Ihống sử dụng chứng chỉ.
Các entry được ihêm vào CRL (khi có sự thu hồi). Một entry có thể đưực loại bỏ - khi ngày hết hiệu lực của mộl chứng chỉ đã đến. Tốc độ xảy ra các Lhu hồi không thể đoán trước đưực nhưng có mộl điều rõ làng là nó phụ thuộc vào số lượng các chủ thể. Có hai yếu tố chính được sử dụng để kiểm soát kích cỡ của các CRL, đó là số lưựng các chủ thổ và thời gian hợp lệ của một chứng chỉ.
Ở đây sẽ nảy sinh vấn đề rắc rối - nếu chúng ta muốn hạn chế kích cỡ của các C RL bằng cách rút ngắn thời gian tồn tại của một chứng chỉ. Khi thời gian tồn tại của chứng chỉ bị rút ngắn, chúng la sẽ vấp phải các vấn đề như : chi phí hoại động cao hơn, người sử dụng bấl tiện hưn và đòi hỏi các nguồn lài nguyên lưu trữ phải nhiều hơn.
Trong các phiên bản của X.509 vào năm 1988 và 1993, mỗi CA có hai CRL: m ộl CRL dành cho tất cả các chủ thể của người sử dụng cuối, một CRL khác dành cho các CA khác và cả hai đều được chứng thực. C RL sau được mong đợi là rất ngắn (thường là trống rỗng). Điều này rất có giá trị vì nó làm giảm các chi phí xử lý CRL khi kiểm tra đường dẫn chứng thực. Tuy nhiên, ở đây vãn còn mộl mối quan tâm là : CRL dành cho chứng chỉ của ngưừi sử dụng cuối phải bao trùm lên toàn bộ số lượng người sử dụng cuối của mội CA. Ớ đây sẽ nảy sinh vấn đề rắc rối - nếu cho phép số lưựng những người sử dụng cuối này lên tới hàng ngàn, hàng triệu hoặc hàng tỷ. Như vậy rủi ro sẽ tăng nếu CRL của người sử dụng cuối có kích cỡ không phù hợp.
Vân đề này đã được giải quyết trong phiên bản 3 của chứng chỉ và phiên bản 2 của CRL. Các khuôn dạng mới này có Ihể chia nhỏ các chứng chỉ của một CA thành một số nhóm riêng, mỏi nhóm riêng liên kết với m ộl điểm phân tán CRL. Vì vậy, kích cỡ tối đa của một CRL có thể lớn hơn và CA có Ihể kiổm soát đưực kích cữ này. Các điểm phân lán CRL có thể được nhận dạng thông qua một Irong các dạng tên/địa chỉ sau : các tên X.500, các U RL hoặc các địa chỉ thư tín điện tử.
Các trường mở rộng của X.509 cũng cho phép tồn tại các điểm phân lán C RL riêng lẻ (tuỳ thuộc vào các lý do Ihu hồi khác nhau), với các thu hồi Ihông Ihường (ví dụ: là kếl quả của việc thay đổi tên) có thể được xếp vào một CRL khác so với các ihu hồi là kết quả của các thoả hiệp an loàn. Tuỳ thuộc vào môi trường ứng dụng và chính sách, một số ứng dụng chỉ được phép kiểm tra danh sách các thu hồi do thỏa hiệp. So với các CRL ihông thường, danh sách các thu hồi do thoả hiệp đưực cập nhật thường xuyên hơn. Chúng ta có thổ lạo ra một cơ sở hạ tầng, Irong đó: kích cỡ của các CRL bao trùm lên các lình trạng thoả hiệp có thể đưực giữ ở mức nhỏ và các CRL này được phát hành với chu kỳ ngán hơn, ví dụ như tính iheo giờ hoặc Ihậm trí thường xuyên hơn. Với các danh sách thu hồi thông Ihường, nếu kích cữ của chúng quá lớn, chúng có thể được phát hành với chu kỳ dài hưn, ví dụ tính iheo ngày.
Các trường mở rộng được định nghĩa như sau :
■ Các điểm phản tán C R L (C R L Distribution P oints):
Đây là một trường mở rộng của chứng chỉ, nó nhận dạng một liơặc nhiều điểm phân lán CRL, các điểm phân tán này phân tán các C RL khi xuất hiôn mộl Ihông báo về việc một chứng chỉ bị Uiu hổi. Đổ có Ihể kiổm Ira dưực
Sự thu hồi, mội hệ Ihống sử dụng chứng chỉ phải tìm kiếm và kiểm tra một CRL lừ một Irong các điổm phan lán hoặc từ một nguồn khác, ví dụ: từ đầu vào Ihư mục của CA phát hành. Một điểm phân lán có ihể phân tán mộl CRL chứa các thông báo lliu hồi (không cần quan tâm đến các lý do thu hồi), hoặc nỏ có thể phân lán một CRL chứa các entry Ihu hồi (dành cho mộl lập hợp có hạn các lý do Ihu hỒi).Trường mở rộng này không cần lât cờ thiết yếu. Nếu một hệ thống sử dụng chứng chỉ không chấp nhân trường này, hệ Ihống chỉ nên chấp nhận chứng chỉ nếu hệ thống có thể kiểm tra tình trạng thu hồi bằng cách khác.
* Issu in g Distribution P oints:
Đây là một trường mở rộng của CRL, nó chỉ ra lên của các điểm đã phân tán C R L riêng biệt này và chỉ ra: có lưu giữ hay không lưu giữ danh sách các chứng chỉ bị thu hồi của thực thể cuối, của CA hoặc các chứng chỉ bị thu hổi do m ột tập hợp hữu hạn các ỉý do. Tất cả các trường này cần nằm trong phđn được ký của CRL và người sử dụng cần kiểm tra nó, những người này ngăn không cho những kẻ tấn công thay thế C RL giả tại một điểm phân phối. Ví dụ, nếu không có các kiểm tra này, lại điổm phân tán B một kẻ tấn cồng có thể thay thế một CRL rỗng từ điểm phân lán A bằng một CRL không rỗng và vì vậy một số chứng chỉ bị thu hồi lại trở thành hợp lệ. CRL được người phát hành C RL ký (ihông ihưởng các CA lự làm điều này) - các điểm phân tán CRL không có các cặp khoá của riêng mình.
7.4 C ác D e lta -C R L
Sử đụng Della-CRL là một cách để giảm kích cỡ của các CRL. Một Della-CRL là một danh sách các thay đổi xảy ra từ khi phát hành CRL trước và danh sách này được ký số. Các Della-CRL được thiết kế để giảm các chi phí truyền thông cho các hệ thống. Della-CRL có Ihể duy trì các cơ sử dữ liệu (của riêng nó) chứa các thông tin về chứng chỉ bị hủy bỏ. Các Della-CRL được sử dụng để cập nhật tình trạng hiện thời của cơ sở dữ liệu mà không cần cho việc xử lý một CRL rỗng. Trong chế độ này, việc thực hiện đòi hỏi sử dụng các phương tiện lưu giữ an toàn - nên khó có thể thực hiện trong môi trường máy tính dể bàn đặc thù nhưng có Ihể thích hựp Irong một môi trường máy chủ lớn.
Việc sử dụng các Delta-CRL phụ thuộc vào một trường mở rộng của CRL:
■ C hỉ báo D elta-C RL (D elta-C RL Indicator):
Đây là một trường mở rộng của CRL, nó nhận dạng m ột Delta-CRL. M ộl Della-CRL chỉ chứa các cập nhại mới của C RL tính từ thời điểm phái hành C RL trước. Trường này chứa số hiệu của base CRL. Delta-CRL chỉ chứa các thay đổi của CRL này chứ không lưu toàn bộ danh sách các thu hồi của nó.
Các Delta-CRL cũng sử dụng một giá trị đặc biệt Irong trường mở rộng Reason code. Giá trị Remove from CRL (của trường Reason code) chỉ báo : cần loại bỏ một entry xuất hiện trong base CRL do thời gian hợp lệ của nó đã kết ihúc hoặc ngừng treo một chứng chỉ.
7.5 Các CRL gián tiếp
Đặc tính của một CRL gián tiếp là: cho phép một CRL được phát hành thông qua một cơ quan khác. Hệ quả quan trọng nhâì của đặc tính này là : một C RL có thể chứa các thu hổi của nhiều CA.
Đặc tính quan trọng này có thể mang lại lợi ích về mặt hiệu năng, bằng cách giảm số lượng các CRL. Các sử dụng đặc thù gồm có :
(a) Trong mộl cộng đồng có nhiều CA, các thông báo thu hồi do thoả hiệp (khác với các thu hồi ihông thường, ví dụ như thu hồi do thay đổi tên, v.v) có thể được đưa vào Irong một danh sách - dành cho toàn bộ cộng đồng. Danh sách này cần được phân tán, kiểm tra thường xuyên và kích cỡ của nó không nên quá lớn.
(b) Khi xử lý một đường dẫn chứng ihực bất kỳ, mọi chứng chỉ trên đường dẫn này được kiểm tra thông qua một CRL. Việc tạo ra một CRL gián tiếp (có chứa lất cả các chứng chỉ bị thu hồi của CA) đã cải thiện đáng kể về hiệu năng Irong một xí nghiệp lớn hoặc trong một cộng đồng.
Các CRL gián tiếp được chỉ ra bằng cách sử dụng các trường mở rộng của chứng chỉ hoặc của CRL có Irong mục VII(3). Trường mở rộng CRL Distrìbutìon Poinls của một chứng chỉ có một tuỳ chọn, được sử dụng đổ nhận dạng người phát hành CRL (người phái hành CRL này khác với những người phát hành chứng chỉ). Trường này (tất nhiên, nó được người phát hành chứng chỉ ký) phục vụ như là một phương tiện để: người phát hành chứng chỉ ủy quyền cho người phát hành CRL đưa ra các Ihông báo Ihu hồi - điều này rất quan trọng bởi vì người sử dụng chứng chỉ có thể kiểm tra bất kỳ m ột CRL nào khi chúng được ký bởi một người phát hành CRL uỷ quyền.
Trong một CRL gián tiếp, mộl chỉ báo đặc biệt được thiết lập trong trường m ở rộng Issuing Distribution Poinl (được trình bày trong mục VII.3). Nỏ cảnh báo: người sử dụng chứng chỉ cần kiểm tra người phát hành chứng chỉ đối với mọi entry có trong CRL - người sử dụng không thể tin tưởng rằng: người phát hành CRL phát hành lất cả các enlry (gán liền với các chứng chỉ) như với các C RL thông thường. Để hỗ trợ chức năng này, một trường mở rộng của CRL entrv được bổ xung Ihêm và được định nghĩa như sau:
□ Người phát hành chứng ch ỉ (Certijìcate Issuer): Trường nằy chỉ ra người phát hành chứng chỉ lương ứng (đối với mỗi CRL enlry). Nếu trường này
không xuấl hiện trong enĩry đầu tiên của một CRL gián tiếp, người phát hành chứng chỉ dành cho eníry này đưực mặc định là người phát hành CRL. Trên các eniry tiếp theo của một CRL gián liếp, nếu trường này không xuất hiện, người phát hành chứng chỉ đưực mặc định là người phái hành chứng chỉ dành cho enỉry trước đó .Các quy tắc ngầm định là một cách thích hợp để tạo ra một CRL gián tiếp.
7.6 V iệc treo chứng chỉ
Đôi khi, một câu hỏi được đặt ra là "có nên huỷ bỏ một chứng chỉ hay không?". Ví dụ: giả thiết rằng có mộl nhà băng hoạt động như là một CA đối với các khách hàng của nó và giả thiết rằng có mộl hệ Ihống giám sál tự động, hệ thống này phát hiện các hoại động khả nghi trong tài khoản của một khách hàng xác định và chỉ báo nếu xảy ra Ihoả hiệp khoá riêng của khách hàng. Trong các trường hợp như vậy, nhà băng có thể không muốn huỷ bỏ chứng chỉ của khách hàng vì nó có thể ảnh hưởng đến mối quan hệ của một khách hàng và sau đỏ phải tiến hành cấp lại chứng chỉ không cần thiết. Tuy nhiên, người sử