Phân phối cá nhân là cách phân phối cơ bản nhất. Trong phương pháp này thì mỗi cá nhân sẽ trực tiếp đưa chứng thư của họ cho người dùng khác. Việc này có thể thực hiện theo một số cơ chế khác nhau.
Chuyển giao bằng tay chứng thư được lưu trong đĩa mềm hay trong một số các môi trường lưu trữ khác. Cũng có thể phân phối bằng cách gắn chứng thư trong e-mail để gửi cho người khác.
Cách này thực hiện tốt trong một nhóm ít người dùng nhưng khi số lượng người dùng tăng lên thì có thể xảy ra vấn đề về quản lý.
4.3.2. Phân phối công khai
Một phương pháp khác phổ biến hơn để phân phối chứng thư (và thông tin thu hồi chứng thư) là công bố các chứng thư rộng rãi, các chứng thư này có thể sử dụng một cách công khai và được đặt ở vị trí có thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu.
Dưới đây là ví dụ về một số hệ thống lưu trữ: - X.500 Directory System Agents (DSAs)
- Lightweight Directory Access Protocol (LDAP ) Server - Online Certificate Status Protocol (OCSP) Responders - Domain name System (DNS) và Web servers
- File Transfer Protocol (FTP) Servers và Corporate Databases
không chứa chứng thư của người sử dụng cuối. Những thay đổi thông thường trong ARL thường hiếm khi xảy ra bởi vì chứng thư của CA chỉ bị thu hồi khi khó cá nhân của CA bị xâm hại và đó lại là trường hợp không thường xảy ra. Nếu chứng thư chéo bị thu hồi thì người cấp chứng thư chéo này sẽ công bố một ARL mới để thông báo với tất cả các thực thể khác về tình huống này. ARLs được sử dụng chủ yếu trong quá trình thẩm tra đường dẫn chứng thư nếu môi trường tin cậy bao gồm CA có chứng thư xác thực chéo.
b. Cơ chế truy vấn On-line (On-line Query Mechanisms)
CRLs và ARLs giúp người sử dụng cuối nhận biết được về tình trạng thu hồi chứng thư. Nhưng có một vấn đề nảy sinh là điều gì sẽ xảy ra nếu CA thu hồi chứng thư ngay sau khi vừa công bố CRL. Không có người sử dụng nào nhận biết được về việc thu hồi này đến khi một CRL mới được thông báo.
Một lược đồ khác để kiểm soát được trạng thái của chứng thư do IETF phát triển là OCSP (Online Certificate Status Protocol). Lược đồ này dựa trên cơ chế truy vấn trực tiếp hơn việc công bố định kỳ CRLs và ARLs. OCSP là giao thức yêu cầu/ trả lời đưa ra cơ chế để nhận được thông tin thu hồi trực tuyến từ thực thể tin cậy là “OCSP Responder”.
Người sử dụng cuối thực hiện yêu cầu với “OCSP Request” với một danh sách các chứng thư cần được kiểm tra, OCSP Responder trả lời yêu cầu “OCSP Reply” với trạng thái của mỗi chứng thư. Chứng thư có thể ở một trong ba trạng thái sau: “good”, “revoked” và “unknown”.
Sử dụng dịch vụ online có một số ưu điểm sau: - Trả lời thường xuyên và luôn có tính chất mới - Thời gian trả lời nhanh
- Giảm thiểu việc sử dụng băng thông mạng sẵn có - Tổng phí xử lý phía client thấp
Tuy nhiên dịch vụ online có hạn chế trong trường hợp cần kiểm tra trạng thái thu hồi nhưng không online .Vấn đề về bảo mật cũng được đặt ra khi sử dụng dịch
vụ này. Hình 2.5 là dịch vụ kiểm tra online với OCSP Responder là dịch vụ khác nhau.
Hình 4.4 – Trung tâm xác thực CA
4.4. Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau.
Nhưng nhìn chung có hai chức năng chính là: chứng thực và thẩm tra.
4.4.1 Chứng thực (certification)
Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đây là quá trình ràng buộc khó công khai với định danh của thực thể. CA là thực thể PKI thực hiện chức năng chứng thực. Có hai phương pháp chứng thực:
- Tổ chức chứng thực (CA) tạo ra cặp khó công khai / khó cá nhân và tạo ra chứng thư cho phần khó công của cặp khó.
- Người sử dụng tự tạo cặp khó và đưa khó công cho CA để CA tạo chứng thư cho khó công đó. Chứng thư đảm bảo tính toàn vẹn của khó công khai và các thông tin