Nhà phát hành chứng thƣ
Nhà phát hành chứng thƣ gọi tắt là CA (Certification Authority), là hạt nhân của hệ thống PKI. Chỉ có CA mới có quyền phát hành chứng thƣ cho một đối tƣợng sau khi kiểm tra những thông tin về đối tƣợng đó. CA có trách nhiệm đảm bảo sự tƣơng ứng giữa cặp khóa (công khai/bí mật) với các thông tin mô tả về đối tƣợng. CA không nhất thiết phải là một bên thứ ba thực sự, nếu xét dƣới góc độ của các đối tƣợng trong một tổ chức. Nghĩa là, CA có thể lại thuộc về cùng một tổ chức chứa các đối tƣợng sử dụng mà nó hỗ trợ. Ngoài ra, ta cũng sử dụng khái niệm CA để chỉ đối tƣợng đƣợc nêu tên trong trƣờng issuer của chứng thƣ số.
Ta sử dụng khái niệm CA gốc để chỉ một CA đƣợc đối tƣợng sử dụng nào đó tin cậy một cách trực tiếp. Ta hiểu khái niệm trực tiếp có nghĩa là việc tin cậy có thể đƣợc đảm bảo mà không cần thêm một CA nào nữa. CA gốc không nhất thiết phải nằm trên đỉnh của một cây phân cấp biểu diễn hệ thống. Điều cần quan tâm là CA gốc đƣợc tin cậy trực tiếp bởi một hoặc một số đối tƣợng sử dụng.
Một CA thứ cấp nếu xét trên phƣơng diện của các đối tƣợng sử dụng thì là bất kỳ
CA nào khác với CA gốc.
CA không những quản lý chứng thƣ khi nó đƣợc khởi tạo mà CA còn phải quản lý cả chứng thƣ trong quá trình sử dụng. CA có các chức năng nhƣ sau:
Xác thực yêu cầu cấp phát chứng thư
Đây là quá trình kiểm tra thông tin định danh, cũng nhƣ cặp khoá (công khai/bí mật) của đối tƣợng yêu cầu cấp phát chứng thƣ. Quy trình diễn ra tuỳ thuộc hệ thống mà ta xây dựng. Việc xác minh này có thể đƣợc thực hiện gián tiếp thông qua một bên trung gian, nhƣ các trung tâm đăng ký RA, hoặc xác minh thông qua tiếp xúc trực tiếp với đối tƣợng.
Phát hành chứng thư
Sau khi xác minh thông tin định danh, cặp khoá của đối tƣợng yêu cầu chứng thƣ, hoặc nhận đƣợc yều cầu từ một RA, CA tiến hành cấp phát chứng thƣ cho đối tƣợng. Chứng thƣ đƣợc ký bằng khóa riêng của CA sau đó đƣợc chuyển tới cho đối tƣợng đó. Bản sao của chứng thƣ có thể đƣợc đƣa tới kho chứa chứng thƣ để công bố hay đƣợc CA lƣu giữ.
Phân phối chứng thư
CA còn cung cấp các dịch vụ để các hệ thống sử dụng chứng thƣ truy cập và lấy về các chứng thƣ mà nó cần. Các dịch vụ này rất đa dạng nhƣng sử dụng phổ biến nhất là dịch vụ email và dịch vụ thƣ mục. Chuẩn thƣ mục X500 đƣợc ITU phát triển và chuẩn hóa phục vụ cho việc phân phối chứng thƣ khóa công khai. Một giao thức tƣơng thích với mô hình thƣ mục X500 phổ biến nhất hiện nay là LDAP.
Các hệ thống thƣ mục độc quyền cũng đƣợc sử dụng để phân phối các chứng chỉ khóa công khai , ví dụ nhƣ các thƣ mục Microsoft Exchange , Lotus Notes và Netware Directory Service.
Thu hồi chứng thư
Khi một chứng thƣ đƣợc yêu cầu huỷ bỏ, hoặc do một nguyên nhân nào đó mà việc sử dụng chứng thƣ không còn an toàn, thì CA phải thu hồi chứng thƣ đó và phải thông báo cho toàn bộ hệ thống biết danh sách các chứng thƣ bị thu hồi thông qua các CRL.
Một CRL là một danh sách các chứng thƣ bị thu hồi đƣợc dán nhãn thời gian, danh sách này đƣợc CA ký số và làm cho nó trở nên có hiệu lực đối với những ngƣời sử dụng chứng thƣ. CRL có thể đƣợc phân tán, ví dụ bằng cách gửi nó đến một địa chỉ Web xác định hoặc thông qua đầu vào hệ thống thƣ mục X.500 của CA. Mỗi chứng thƣ bị thu hồi đƣợc CRL nhận dạng thông qua số hiệu chứng thƣ, mỗi chứng thƣ có một số hiệu duy nhất, số hiệu này do CA phát hành sinh ra và nó nằm trong chứng thƣ.
Treo chứng thư
Trong trƣờng hợp CA phát hiện ra các dấu hiệu khả nghi việc sử dụng chứng thƣ là không còn an toàn nữa thì CA sẽ phải treo chứng thƣ, tức là chứng thƣ đó bị thu hồi tạm thời, nhƣng nếu CA tìm đƣợc thông tin chứng minh rằng việc sử dụng chứng thƣ vẫn đảm bảo an toàn thì chứng thƣ sẽ đƣợc đổi lại trạng thái hoạt động bình thƣờng.
Gia hạn chứng thư
Trong trƣờng hợp chứng thƣ hết thời hạn sử dụng, nhƣng chứng thƣ vẫn đảm bảo tính bí mật khi sử dụng, thì nó có thể đƣợc cấp lại( tùy thuộc vào yêu cầu của chủ thể chứng thƣ). Tức là gia hạn thêm thời gian sử dụng cho chứng thƣ. Chứng thƣ đƣợc cấp mới không có gì thay đổi, ngoại trừ trƣờng thời gian hết hạn đƣợc thay, tất nhiên là kéo theo cả chữ ký của nhà phát hành chứng thƣ cũng thay đổi.
Cơ quan đăng ký chứng thƣ
Trong các hệ thống với phạm vi vật lý rộng lớn, việc CA chứng nhận thông tin định danh của đối tƣợng là rất khó khăn. Một giải pháp cho vấn đề này là CA sử dụng các cơ quan đăng ký chứng thƣ - RA làm đại diện cho CA trong một cộng đồng nhỏ. Các RA không trực tiếp phát hành chứng thƣ, hay quản lý chứng thƣ mà nó chỉ thực hiện công việc xác nhận những thông tin ngƣời dùng cho CA. Đồng thời RA cũng có thể thay mặt ngƣời sử dụng yêu cầu CA phát hành, thu hồi, thay đổi thông tin trên chứng thƣ.
Các chức năng của RA là:
Nhận các yêu cầu cấp phát chứng thƣ từ phía ngƣời dùng, chứng nhận các thông tin trên yêu cầu đó.
Gửi yêu cầu cấp phát chứng thƣ đến CA. Nhận các chứng thƣ từ CA và chuyển cho chủ thể chứng thƣ.
Nhận yêu cầu thu hồi, treo, xin gia hạn chứng thƣ từ phía ngƣời dùng, kiểm tra và gửi những yêu cầu này cho CA.
Không giống CA, mỗi RA sẽ thƣờng xuyên vận hành bởi một ngƣời, và mỗi CA sẽ quản lý một nhóm RA tin cậy. CA sẽ nhận biết và quản lý RA thông qua tên và khoá công khai của nó. Thông qua việc xác thực chữ ký số của RA trên những thông tin, CA có thể thừa nhận tính đúng đắn của RA.
Kho chứa chứng thƣ
Các chứng thƣ, các bản CRL và các thông tin liên quan đến chúng cần đƣợc lƣu trữ công khai để các chƣơng trình sử dụng chứng thƣ truy cập và lấy về những thông tin cần thiết. Nhƣ vậy kho chứa chứng thƣ cũng là một thành phần trong hệ thống PKI. Kho chứa chứng thƣ còn đảm bảo những thông tin đƣợc lƣu trữ trên nó là hoàn toàn chính xác và tính nhất quán (ví dụ nhƣ đảm bảo CRL phát hành đúng hạn).
Từ năm 1984, tổ chức viễn thông quốc tế - ITU (đôi khi đƣợc gọi là CCITT) đã nghiên cứu, phát triển các chuẩn nhằm xây dựng một hệ thống chỉ mục cho phép đáp ứng các nhu cầu tích hợp nhiều ứng dụng trên cùng một hệ thống, cho phép đồng bộ dữ liệu trong hệ thống và trao đổi thông tin với các hệ thống ngoài khác. Hệ thống này đƣợc gọi là hệ thống chỉ mục (Directory) tuân theo chuẩn X.500. Tuy nhiên hệ thống chỉ mục X.500 nguyên gốc tỏ ra cồng kềnh và yếu kém trong việc thiết kế các giao diện lập trình ứng dụng – APIs.
Sau đó, các nhà khoa học đã tiếp tục nghiên cứu và phát triển thành giao thức
LDAP (Lightweight Directory Access Protocol) nhằm khắc phục các nhƣợc điểm trên.
Giao thức này bổ sung các chuẩn:
Information Model (Các cách hiển thị thông tin).
APIs (Cách các ứng dụng lấy thông tin)
Replication (Cách các máy chủ đồng bộ thông tin)
Access Control (Kiểm soát truy cập)
Hiện nay giao thức này đã đƣợc cập nhật tới phiên bản V3. Trong những năm gần đây các hệ thống thƣ mục LDAP là một giải pháp hữu hiệu cho kho chứa chứng thƣ có cấu trúc cây thông tin thƣ mục (Directory Information Tree). Mỗi một nút thƣ mục trong cây đại diện cho một chứng thƣ trong PKI. Nội dung của thƣ mục chính là con trỏ tới chứng thƣ và CRL tƣơng ứng đƣợc lƣu trữ trong hệ thống LDAP. Các thuộc tính của thƣ mục chỉ ra các thông tin liên quan tới chứng thƣ mà nó đại diện ví dụ nhƣ các chính sách chứng thƣ, đƣờng dẫn chứng thực.
