2.4.1. Định nghĩa
Trước sự phát triển mạnh mẽ của công nghệ thông tin thì nhu cầu ngày càng tăng cho các phiên giao dịch và trao đổi thông tin điện tử cần bảo mật đã nảy sinh ra các vấn đề an toàn như sau:
Tính toàn vẹn (Intergrity): đảm bảo rằng thông tin không bị sửa đổi Tính xác thực (Authenticity): xác thực nguồn gốc thông tin
Tính bảo mật (Confidentiality): đảm bảo rằng thông tin được giữ bí mật Tính không chối bỏ (Non-repudiation): đảm bảo rằng thông tin không thể bị chối bỏ nguồn gốc.
Những mục tiêu an toàn này thường được đáp ứng bằng cách sử dụng hệ mật khoá công khai. Mỗi người tham gia vào hệ mật khó công khai có:
Khoá công khai: sử dụng cho mục đích xác thực chữ ký, mã hoá thông tin Khoá bí mật: sử dụng để ký các thông điệp hoặc để giãi mã các thông điệp đã được mã hoá bằng khoá công khai tương ứng.
Hệ mật khoá công khai ra đời đảm bảo rằng chỉ những thực thể sở hữu khoá hợp lệ mới có thể thực hiện những thao tác nhất định như là ký một thông điệp hoặc giải mã các thông điệp. Để đảm bảo điều này, một liên kết giữa các thực thể đó và khoá của họ phải được thiết lập, từ đó:
- Một thông điệp có thể được mã hoá với khoá hợp lệ - Xác thực người đã ký thông điệp
Hệ thống mật mã khoá công khai là nền tảng cơ bản để xây dựng các hệ thống PKI ngày nay. Ta có thể định nghĩa PKI như sau:
Cơ sở hạ tầng khoá công khai (Public Key Infrastructure – PKI) là một tập hợp các chính sách, các quy trình, thiết bị phần cứng, phần mềm sử dụng để quản lý, cấp phát chứng chỉ số đảm bảo cho việc cung cấp các dịch vụ xác thực và bảo mật [10].
Từ định nghĩa này ta có thể thấy rằng:
PKI là một hạ tầng cơ sở cho phép các tổ chức triển khai và ứng dụng bảo mật dựa trên hệ thống mã hoá khoá công khai, nhằm đảm bảo an toàn thông tin liên lạc và các giao dịch trên mạng Internet.
PKI bao gồm các thủ tục, các dịch vụ và các chuẩn hỗ trợ phát triển các ứng dụng áp dụng các kỹ thuật mã hoá khoá công khai.
Thiết lập các PKI tin cậy cho người dùng là điều kiện tiên quyết phát triển thương mại điện tử và Chính phủ điện tử.
Mục đích của cơ sở hạ tầng khoá công khai PKI là để cung cấp các mối liên hệ giữa những người sử dụng và khoá công khai tương ứng của họ theo một phương thức an toàn. Để tin cậy vào khoá công khai của một người sử dụng trong hệ PKI, người ta đưa ra khái niệm chứng thư số. Chứng thư số được hiểu là một tài liệu điện tử gắn một khoá công khai với một thực thể nào đó. Chứng thư số chứa những thông tin chẳng hạn như định danh, khoá công khai đi kèm, ngày hết hạn của chứng thư của một người, một tổ chức hoặc một thiết bị phần cứng hoặc phần mềm…
Các thành phần chính của một hệ thống PKI:
- Trung tâm chứng thực điện tử (Certificate Authority – CA)
- Trung tâm đăng ký sử dụng chứng thư (Registration Authority – RA) - Dịch vụ thư mục để tra cứu chứng chỉ và danh sách huỷ bỏ chứng thư (Certificate Revocationo List – CRL)
- Hệ thống chính sách, thủ tục cấp phát và quản lý chứng thư số - Hệ thống phần mềm bảo mật trên nền tảng chứng thư số.
Thực thể đứng ra chịu trách nhiệm và đảm bảo sự tin cậy vào khoá công khai cũng như định danh của chủ sở hữ khoá gọi là trung tâ chứng thực CA. Chứng thư số được ký bởi một trung tâm chứng thực CA bằng khoá bí mật của CA. Chứng thư số do CA phát hành là để xác thực định danh của những người sử dụng và khoá công khai đi kèm, CA có trách nhiệm phát hành, quản lý, cung cấp các dịch vụ cần thiết trên những chứng thư này. Trong mô hình kiến trúc này, các thành phần của PKI bao gồm:
- Certificate Authority (CA): là một tổ chức tin cậy trong việc cấp phát chứng thư số và công nhận các nội dung thông tin lưu trữ trong chứng thư số. CA là thành phần quan trọng của hệ thống PKI, là tổ chức quản lý của PKI.
- Registration Authority (RA): là trung tâm chịu trách nhiệm xác nhận về tính trung thực của yêu cầu sử dụng chứng thư số. RA không có trách nhiệm tạo và ký chứng thư. RA sau khi nhận yêu cầu sẽ chuyển tiếp yêu cầu đó tới CA để thực hiện.
- Kết quả việc cấp phát của CA sẽ được chuyển tới người yêu cầu thông qua RA
- Local Registration Authori (LRA): là đại diện của RA tại địa phương, thực hiện chứng năng của RA tại khu vực qunả lý của mình. LRA có các chứng năng:
• Xác nhận các thông tin về người đăng ký • Chấp thuận các yêu cầu đăng ký sử dụng • Gửi yêu cầu cấp mới tới CA
• Gửi yêu cầu gia hạn tới CA
• Gửi yêu cầu huỷ bỏ chứng chỉ tới CA • Hỗ trợ tại chỗ cho người sử dụng - Các chứng năng mở rộng của hệ thống PKI
• Giao thức kiểm tra trạng thái chứng chỉ trực tuyến (OCSP) • Hệ thống chứng thực nhãn thời gian (TSA).