I Phân loại an toàn máy tính
2. Các cấu trúc quan hệ của CA
2.5 Các cây phân cấp
Một vấn đề chính trong các cấu Irúc phân cấp là: một thành viên nào đó trong hệ thống phân cấp không muốn chấp nhận rằng - một cơ quan có thổ được tin cậy cho lất cả các mục đích định trước. Ví dụ, chúng ta có thể xem xết các cấu Irúc phân cấp trong chính phú của mộl nước, hê thống phân cấp có thổ hợp lý hoàn toàn. Tuy nhiên, mọi cố gắng nhầm mở rộrig hệ thống phân cấp thành mức quốc tế luôn luôn thất bại. Trong khi chính phủ của các nước lliiêl lộp các mối quan hô song phương với chính phú của các nước khác, viễn cánh lất cá các chính phú của các nước chấp lliuận lin cây vào mội CƯ quan quốc tế Irong việc bảo vệ các thông tin quốc tế và quốc gia nhạy cảm là không thực tế, do tồn tại các lý do về chủ quyền quốc gia.
Khi áp dụng vấn đề này vào trong môi trường thương mại, các nhà kinh doanh cổ thể lliiếl lâp các mối quan hộ gẩn gữi với các nhà kinh doanh khác, nhưng rấl khỏ cổ thể tìm được một cơ quan mà lấl cả các nhà kinh doanh đều Ún cậy, đặc hiệt đối với các thông tin nhạy cảm của họ.
Điều này dẫn đến một ý l i r ớ n g liên kết các cấu trúc phân cấp với nhau hằng cách: các lop-level CA chứng thực các top-level CA khác, ý iưởng này dược minh họa trong hình 4.5.
Mô hình này rất quan trọng bởi vì, trong Ihực tế, các PKI được ví như là các đảo hiệt lập, chắc chắn chúng cần liên kết với nhau trong phạm vi lứn hơn. Ví
dụ, Bộ quốc phòng Mỹ đang đề xuấl giải pháp cho việc thiết lập liên hoạt dộng giữa cơ sở ha tầng (hệ thống phân cấp lop-down) của bộ quốc phòng Mỹ với các tổ chức quốc phòng của các nước đồng minh. Giải pháp này cũng có thổ được sử dụng để liên kết các cơ sở hạ tầng của các tổ chức cá nhân có quan hệ kinh doanh với nhau.
Liên kết một số lượng nhỏ các cấu trúc phân cấp top-down với nhau, rõ ràng đây là mộl giải pháp không phức tạp và có thể xây dựng được. Tuy nhiên, nếu cấu trúc đưực sử dụng để hỗ Irự liên hoạt động giữa các hệ thống phân cấp đơn lẻ (với số lưựng các hệ thống không bị giới hạn), Ihì mạng lưới liên kết giữa các hệ thống phân cấp trở nên phức tạp luỳ tiện và trở thành trọng tâm mới cúa các mối quan lâm về cấu trúc. Đã đến lúc chúng la cần xem xét mộl số thiết k ế được cấu trúc lỏng lẻo.
2.6 M ô hình tin cậy ràng buộc tăng dần
Q ua xem xét các các mô hình trên, chúng ta có thể biết được hiệu lực của các Ihựe Ihể khác nhau trong đường <JÃn chứng thực: khi chúng ta lần theo một đường dần cliứiig lliực đi lữ người sứ dụng chứng chỉ lới người nắm giữ cặp kltoá, một thực th ể trong đường dẩn chứng Ị hực ít được tin cậy liơn so với lliực th ể trước đố.
Ví dụ:
■ Người sử dụng chứng chỉ tin cậy lioàn lơàn vào bản lliân mình và tin cậv các lliực lliổ khác (các CA và những người nám giữ cặp khoá) íl hơn. Ví dụ, người sử dụng chứng chí có thổ nắm giữ nhiều khoá công khai gốc và có ihổ đưa ra nhiều quyếl định như: khoá công khai gốc nào sẽ được tin cậy cho mục đích này hoặc mục đích kia. (Khi chúng ta nói - khoá gốc được tin cây, có nghĩa là tất cả các đường dẫn chứng thực đều bắl đầu lừ khoá gốc được tin cậy này). Điều này được áp dụng cho tâì cả các mô hình.
■ Trong mô hình web o f trusl , một CA có thể quyếl định mộl thực thổ (Ihực thổ này đã được chứng Ihực) dưực tin cậy như mộl thực ihổ cuối hoặc có Ihổ hoại động như mộl CA (yôu cầu về sự tin cây cao hơn).
■ Trong mồ hình PEM, CA dầu liên Irong đường dẫn (lop-ỉevel CA) dưựe tin cậy trong tất cả các mục đích của PEM. Thành viên còn lại Irong đường dẫn chứng thực chỉ được tin cậy trong một chính sách riêng biệt (như đã dược chỉ ra thông qua tên của PCA).
■ Trong mô hình PEM, lừ CA lliứ 3 Irử đi Irong đường dãn chứng ihực (đây là CA cấp dưới của PCA), quy lắc lên lệ thuộc có hiệu lực. CA bấl kỳ tiếp theo chỉ có thể được tin cây để kiểm tra, với không gian tòn bị giới hạn và không gian lên này giảm dần đi đối với các CA tiếp theo trong đường dẫn chứng thực.
Để trung thành với các giới hạn tin cậy Irên, hệ thống sử dụng chứng chỉ có thổ chứng thực các giới hạn này một cách tự động, như là một phần của quá trình phê chuẩn đường dẫn chứng ihực.
Nếu khái quái hoá những gì xảy ra ỏ Irên, chúng la có thể phát triển một mô hình - m ô hình này được gọi là mô hình lin cậy làng buộc tăng dần. Mô hình này được hỗ Irự thông qua các mở rộng chuẩn phiên bản 3 của X.509, được minh hoạ trong hình 4.6.
Mô hình này cho phép: một CA hất kỳ có thể xác định một tập hợp các điều kiện và các giới hạn đối với chủ thể của chứng thực. Ví dụ: các điều kiện hoặc các giới hạn này có thể là các chính sách đưực hỗ trợ hoặc các ràng buộc đối với kiiông gian tên mà sau đó có thể được chứng thực. Trong giai đo'ạn đầu
1J tin c ậ y /V l ù y t h u ộ c A tin c â y B, H tin c ậ y c , tù y th u ộ c t ù y iliuộc c á c c á c íliều c (in c ộ y a, lù v th u ộ c n h ư k h o á g ổ c
u tin c ậ y v à o dư ờng dẫn lới a, luỳ thuộc v à o ứng d ụ n g lă n g (.lân củ a c á c diổu kiỌn W , X , Y và z
Ị lình 4.6 Mô hình liu cậy làng buộc lăng dấn
tiên, người sử dụng khoá công khai gắn các điều kiện vào sự tin cậy của mình đỏi vứi rool CA (có nghĩa là ư tin cây /4), cũng làm tương tự như vậy dối với các giai đoạn còn lại, nhưng trôn thực lế nó không phải là một lrường hợp của "chứng thực".
ở dây cỏ mội nguyên tắc quan trọng là: các CA phải định rõ - các điều kiện giới hạn nhất là các điều kiện thiết thực, các đường dẫn chứng Ihực không được quá dài hoặc quá phức tạp (nếu không sự tin cậy sẽ nhanh chóng mấl đi). Điều này còn phù hợp cho cả những người sử dụng chứng chỉ và các CA. Nói chung, những người sử dụng chứng chỉ ít khi gặp phải những đường dẫn chứng
thực dài, h ay phải g án h ch ịu các rủi IX) d o ch ứ n g thực sai lầm hoặc k h ông
thích hợp. Các CA hiếm khi gặp các đường dẫn chứng thực đáng ngờ hoặc các rủi ro do lạm dụng trách nhiệm pháp lý hoặc các vấn đề khác.
Ví dụ, khi chúng ta xem xél hiệu lực của một điều kiện, diều kiện này gồm có một ràng buộc đặl tên như Irong quy tắc tên lệ thuộc của PEM. Công ty thép Sharon cỏ Ihể phát hành các chứng chỉ cho bâì cứ ai, nhưng chỉ các chứng chỉ dành cho các thực thể có lên trong không gian tên của công ty thép Sharon dưực hộ thống những người sử dụng chứng chỉ chấp nhân. Điều này giúp cho người sử dụng chứng chí hạn ch ế các thiệt hại do chứng thực sai lầm hoặc chủ tâm làm hại. Ví dụ, nếu công ly thép Sharon phái hành mộl chứng chí sai lầm hoặc chủ lâm làm hại cho mộl nhân viên của công ty thiết k ế máy Danielle hoặc Tổng thống Mỹ, chứng chí này sẽ bị loại bỏ lự động trong quá Irình phê chuẩn dường dẫn chứng thực.
Mô hình tin cậy ràng buộc tăng dần là một mô hình không ép buộc, nó có thổ là kết quả của việc sử dụng X.509 (phiên bản I hoặc phiên bản2) mà không có giới hạn đặc biệt nào (ví dụ như các giới hạn của PEM) và có ihể là kết quả của thiết kế PGP. Sẽ xảy ra rủi ro nếu không hạn chế độ dài của các đường dẫn chứng thực hợp lộ, hay kết nối những người sử dụng trên thố giới hằng các đường dẫn chứng thực có độ dài không bị hạn c h ế và sự tin cây không rõ ràng.
Hệ Ihống phân cấp CA của PEM áp dụng các nguyôn tắc của mô hình lin cậy ràng buộc lăng dần. Tuy nhiên, cấu trúc này còn có một số hạn chê như sau:
(a) Hệ thống phân cấp top-down thuẩn tuý (mọi đường dẫn chứng ihực đều bát đàu với lop-level CA) hạn ch ế rấl nhiều đối với ứng dụng mở, phạm vi rộng. Nó nên cho phép: kidm tra các chuỗi chứng chỉ hắl đổu với mộl khoá cổng khai gốc từ domain của một người sử dụng, đúng hưn là uỷ thác một khoá công khai lâp U ung lại đỉnh của một hệ thông phân cấp. Bởi vì thông thường, tlomain của người sử dụng là domain đưực tin cây nhất, các hoại động khơi lạo và cập nhật cặp khoá có thể được quân lý hiệu quả hơn so với tại mộl Ihực thổ cuối và một hệ thống quản lý cục bộ.
(b)C ác ràng buộc trong quy tắc tên lệ thuộc của PEM này có thể gây rắc rối cho một lổ chức sử dụng hệ thống định tên X.500. Ví du, giả thiết công ly thép Sharon có mội văn phòng chính lại Mỹ và một văn phòng chi nhánh lại Anh. Các tên lliư mục X.500 dành cho các văn phòng này có thể là: {Coưniry=US, Organizaíion= Sharoris Steelcorp, Inc.} và
{Counír\=U K, Organizaíion= Sharoìi's Sleelcorp, Ltd.}. Công ly thép Sharon mong muốn có mộl CA trung lâm, CA này có thể bao trùm lên toàn bộ các văn phòng của nó liên toàn thế giới, nhưng rõ ràng là điều này không thể xảy ra bơi vì các không gian lên bị tách rời hoàn toàn.
(c) Khi sử dụng khái niêm PCA, đòi hỏi phải có các thông tin về các PCA cá nhân để hình thành logíc kiổtn Ira đường dãn chứng thực. Trong trường hợp thư tín điện tử ỉnlenel, đay không phái là mội vấn đề chính - người sử dụng có Ihể biết tên của PCA và có ihể dưa ra mội quyết định như: nên tin cây những gì Irong một đường dẫn chứng thực. Tuy. nhiên, trong nhiều ứng dụng thương mại, ví dụ như thương mại điện tử hoặc
EDI (trao đổi dữ liệu điện lử), sự can thiệp của người điều hành nhàm dưa ra các quyết định chính sách là không thực tế. Quá Irình này cần dưực thực hiện tự động. Trong Ihựe tế, lấl cả các quá trình xử lý đường dãn chứng thực cần có các phần mồm và phổn cứng tin cậy.
Phiôn bản 3 của X.509 có một số dặc tính hồ trợ cho mô hình tin cậy ràng buộc tãng dần, có thể tránh được các hạn chế không mong muốn Irong thiết kế PEM. Các đặc tính này được trình bày Irong mục 4.3 và 4.4.
2.7 Chứng chỉ được ký chồng chéo nhiều lán
Một chứng chỉ X.509 đưựe mộl CA ký; Do vạy, nó phụ thuộc hoàn toàn vào sự siêng năng và sự tin cậy của CA. Việc Ihoả hiệp khoá riêng của CA có thể gây ra những hậu quả nghiệm trọng, 'rình Irạng này có thổ dược giải Cịuyếl
bằng cách đưa ra mộl chứng chỉ và chứng chí này được nhiều CA độc lập ký. PGP cỏ kha năng làm cho mội khoá công khai đưực nhiều người chứng thực. Điồu này tạo ra các chứng chỉ bên lề, hai chứng chỉ này (tùy chọn, cỏ thể nhiều hơn) được sử dụng để phô chuẩn một khoá. Hệ thống có vấn đề vì ở dây không có cách nào đổ đảm bảo rằng những người chứng llìực là độc lập. Đặl sự tin cây vào hai ngưòi chứng Ihực, hai người này lại thông đổng với nhau, ví (Jụ hai Ihành viên của mội tổ chức lội phạm, sẽ chỉ mang lại cảm giác khổng an loàn (trừ khi hạn là một Ihành viên của tổ chức này). Trong môi trường PCiP, người sử dụng khoá công khai có cơ hội xem XÓI sự lin cậy của lất cả những người chứng Ihực Irước khi sử dụng khoá, hệ thống có thể làm việc. Tuy nhiên, nỏ không được m ở rộng vào các môi Irường tự động và mử, đáp ứng nhu cầu c ủ a thương mại điện lử.
X.509 không hao hàm các chứng chỉ được ký chồng chéo nhiều lần, chủ yếu là do sự phức tạp. Giả sử các CA khác nhau sẩn sàng xác nhận các thuộc tính khác nhau của chủ thể, nhưng không phải lất cả chúng đều sẩn sàng xác nhận tấl cả các thuộc tính? Có phải mọi CA đều công nhận các chính sách chứng chỉ? Các CA khác nhau muốn xác định các ràng buộc nào? Khi một CA huỷ bỏ một chứng chỉ, tất cả các CA cỏ phải huỷ bỏ đồng thời hay không? Do tin rằng - chứng chỉ được ký chồng chéo nhiều lần lất phức tạp cho nên không một nhà cung cấp nào muốn thiết lập chúng và không một tổ chức sử dụng nào có khả năng quản lý chúng. Đây là một hướng nghiên cứu trong tương lai, thuộc lĩnh vực cơ sử hạ tầng khoá công khai.