Đồ án HẠ TẦNG MÃ KHÓA CÔNG KHAI TRONG VPN
Trang 1HA TANG MA KHOA CONG KHAI
Trang 21.5Công bố và gửi thông báo thu hôi chứng chỉ
PHẦN 2- HẠ TÀNG MÃ KHÓA CÔNG KHAI
2.1 Téng quan về PKI
2.2 Các thành phần của PKI ĐC
2.2.1 Tổ chức chứng thực (Certification ‘Authority)
2.2.2 Trung tam dang ky ( Registration Authorities)
2.2.3 Thực thể cuối ( Người giữ chứng chỉ và Clients)
2.2.4 Hệ thống lưu trữ ( Repositories)
2.3 Chức năng cơ bản của PKI
2.3.1 Chimg thyc ( Certification)
2.3.2 Tham tra ( Validation)
2.3.3 Một số chức năng khác
PHAN 3-MÔ HÌNH TIN CẬY CHO PKI
3.1 Mô hình CA don
3.2 M6 hinh phan cấp _—
3.3 Mô hình mắt lưới (Xác thực chéo)
3.4 Mô hình Hub và Spoke (Bridge CA)
3.5 M6 hinh Web ( Trust Lists)
3.6 Mô hình người sử dụng trung tâm ( User Centric Model)
Trang 3Trong một vài năm lại đây, hạ tầng truyền thông TT càng ngày cảng được mở rộng
khi người sử dụng dựa trên nền tảng này dé truyén thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng
Hầu hết các thông tin nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện
tử trong các cơ quan văn phòng, doanh nghiệp Sự thay đổi trong các hoạt động truyền thông này đông nghĩa với việc cân phải có biện pháp bảo vệ đơn vị, tô chức, doanh nghiệp
của mình trước các nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các
thông tin đó Cơ sở hạ tâng mã khoá công khai (PKI - Public Key Infrastructure) cing các tiêu chuẩn và công nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc
lập có thể sử dụng đề giải quyết vần đề này
PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính
ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng chỉ số hay ta còn gọi là chứng thực điện tử (digital certificate) cũng như các khoá công cộng (khoá công khai) và
cá nhân (khoá riêng) Sáng kiến PKI ra đời năm 1995, khi mà các chính phủ và các tổ chức
công nghiệp xây dựng các tiêu chuẩn chung dựa trên phương pháp mã hoá để hỗ trợ một
ha tang bảo mật trên mạng Internet Tại thời điểm đó, mục tiêu được đặt ra là xây dựng
một bộ tiêu chuẩn bảo mật tổng hợp cùng các công cụ và lý thuyết cho phép người sử dung cũng như các tổ chức (doanh nghiệp hoặc phi lợi nhuận) có thê tạo lập, lưu trữ và trao doi các thông tin một cách an toàn trong phạm vi cá nhân và công cộng
Cho tới nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đầy Và để
hiện thực hoá ý tưởng tuyệt vời này, các tiêu chuẩn cân phải được nghiên cứu phát triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, câp phép và quản lý Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets Layer/Transport Layer Security (SSL/TLS) va Virtual Private Network (VPN), chinh 1a két
quả của sáng kién PKI M6t minh chimg là thuật toán mã hoá phi đối xứng được xây dựng
dựa trên phương pháp mã hoá và giải mã thông tin sử dụng hai khoá mã: khoá công khai (public key) và khoá riêng (private key) Trong trường hợp này, một người sử dụng có thể
mã hoá tài liệu của mình với khoá riêng và sau đó giải mã thông tin đó bằng khoá công
khai Nếu một văn bản chứa các dữ liệu nhạy cảm và cần phải được truyền một cách bảo
mật tới duy nhất một cá nhân, thông thường người gửi mã hoá tài liệu đó bằng mã khoá
riêng của mình và người nhận sẽ giải mã sử dụng khoá công khai của người gửi Khoá
công khai này có thể được gửi kèm theo tài liệu này hoặc có thể được gửi cho người nhận trước đó
Mặt khác, do có khá nhiều thuật toán phi đối xứng nên các chuẩn công khai hiện có
thường xuyên được nghiên cứu cải tiễn để phù hợp với các thuật toán này Hiện nay ở Việt
Hạ tầng khóa công khai trong VPN 3
Trang 4Nam, việc nghiên cứu, ứng dụng và triển khai PKI nói chung và dịch vụ cung cấp chứng chỉ số nói riêng là van dé còn mang tinh thời sự Bang việc sử dụng chứng chỉ và chữ ký
số, những ứng dụng cho phép PKI đưa ra nhiều đặc tính đảm bảo an toàn thông tin cho người sử dụng Bài báo cáo này được thực hiện với mục đích tìm hiểu nghiên cứu về PKI,
bao gôm các khái niệm tổng quan về chứng chỉ số, các khái niệm cơ sở về PKI, chức năng
và các thành phần PKI Từ đó xây dựng các mô hình tin cậy của PKI trong VPN, ưu và
nhược điểm của các mô hình này.Với giới hạn những vấn đề tìm hiểu và nghiên cứu như
trên, bài báo cáo bao gồm 3 phần:
Phần 1: Tổng quan về chứng chỉ số
Giới thiệu các khái niệm về chứng chỉ số và một số vấn đề liên quan
Phần 2: Hạ tầng mã khóa công khai
Khái niệm PKI, chức năng và các thành phần của PKI
Phần 3: Mô hình tin cậy cho PKI
Phân tích và xây dựng các mô hình tin cậy của PKI, ưu và nhược điểm các mô hình
này
Trang 5PHAN 1
TONG QUAN VE CHUNG CHi SO
Mật mã khoá công khai cho đến nay được xem là giải pháp tốt nhất để đảm bảo
được các yêu cầu về an toàn thông tin mạng: “bảo mật”, “toàn vẹn”, “xác thực” và “chống
chối bỏ” Mặc dù vẫn còn mới khi so sánh với các phương pháp mã cổ điển nhưng mật mã khoá công khai đã nhận được sự tin cậy rộng rãi của thế giới Internet vì những công cụ có khả năng phát triển cho vấn đề quản lý khoá
Như đã đề cập ở trên, vẫn đề chính của hệ mã khoá đối xứng là vẫn đề quản lý khoá
và để giải quyết vân đề này hệ mã khoá công khai đã được đưa ra như một giải pháp
Trong hệ thông mật mã khoá công khai, khoá riêng (khoá bí mật) được người dùng giữ bí mật trong khi khoá công khai với tên của người sở hữu tương ứng lại được công bố công khai Đối với hệ thống như thế nay, ta cần xác định và trả lời một số câu hỏi như:
- Ai sẽ tạo ra cặp khoá công khai — bí mật?
- Dữ liệu sẽ được lưu dưới định dạng như thế nào trong hệ thống lưu trữ (khoá
công, định danh của người sở hữu và các thông tin khác)?
- Có cơ chế nào để giữ cho thông tin không bị thay đổi trên hệ thống lưu trữ?
- Lam thé nao dé dam bảo việc gắn kết giữa khoá công và định danh của thực thé
yêu cầu có khoá công?
- Lam thế nào để người sử dụng có thể truy cập được đến nơi lưu trữ?
- Làm thế nào người sử dụng nhận biết được có sự thay đổi trong dữ liệu đang được
lưu trên hệ thống lưu trữ?
- Điều gì sẽ xảy với khoá công khai nếu khoá riêng tương ứng bị xâm hại?
- Có một chính sách nào cho tắt cả những vấn đề nêu trên không?
Để trả lời cho những câu hỏi trên có một giải pháp là sử dụng hạ tầng khoá công
“PKI là hạ tầng cơ sở có thể hỗ trợ quản lý khoá công khai để hỗ trợ các dịch vụ xác
thực, mã hoá, toàn vẹn hay chống chối bỏ”
“PKI là hạ tầng cơ sở bảo mật có những dịch vụ được triển khai và chuyển giao sử dụng công nghệ và khái niệm khoá công khai”
Nhìn chung, PKI có thể được định nghĩa như một hạ tầng cơ sở sử dụng công nghệ thông tin để cung cấp dịch vụ mã hoá khoá công khai và chữ ký số Một mục đích quan trọng khác của PKI là để quản lý khoá và chứng chỉ được sử dụng trong hệ thống
Hạ tầng khóa công khai trong VPN 5
Trang 6Chứng chỉ là cấu trúc dữ liệu đặc biệt, gan kết khoá công khai với chủ sở hữu của
nó Việc găn kết này được đảm bảo bằng chữ ký sô của nơi được uỷ quyền cấp
chứng chỉ
1.1 Giới thiệu
Như đã nói đến ở trên, mật mã khoá công khai sử dụng hai khoá khác nhau (khoá
công và khoá riêng) để đảm bảo yêu cầu “bí mật, xác thực, toàn vẹn và chống chối bỏ ” của những dịch vụ an toàn Một đặc tính quan trọng khác của lược đồ khoá công khai là
phần khoá công khai được phân phối một cách tự do Ngoài ra, trong hạ tầng mã khoá công khai thì khoá công ngoài việc phải luôn sẵn có để mọi người trong hệ thống có thể sử dụng còn phải được đảm bảo về tính toàn vẹn
Khoá công được đặt ở vị trí công khai trong một định dạng đặc biệt Định dạng này được gọi là chứng chỉ Chứng chỉ (thực ra là chứng chỉ khoá công — public key certificate
(PKC)) là sự gắn kết giữa khoá công của thực thể và một hoặc nhiều thuộc tính liên quan
đến thực thé Thực thé có thể là người, thiết bị phần cứng như máy tính, router hay một phần mềm xử lý Một chứng chỉ khoá công (PKC) được người câp ký bằng chữ ký có hiệu
lực đưa ra một bảo bảm đầy đủ về sự gan két giữa khoá công, thực thể sở hữu khoá công
này và tập các thuộc tính khác được viết trong chứng chỉ PKC còn được gọi là “digital certificate”- chứng chỉ số, “digital ID”, hay đơn giản là chứng chỉ
Hình 1.1 minh hoạ một chứng chỉ số do hệ thống MyCA cấp
axl
General | Details | Certification Path |
Certificate Information
This certificate is intended to:
Ensures the identity of a remote computer a
*Proves your identity to a remote computer
Ensures software came from software publisher
Protects software from alteration after publication
Protects e-mail messages
Allows data to be signed with the current time |
Issued to: Bui Tu Quynh
03-08-2010 04-03-1987 Issued by: RootCA
Trang 7Chứng chỉ chứa những thông tin cần thiết như khóa công khai, chủ thể (người sở
hữu) khoá công, người câp và một số thông tin khác Tính hợp lệ của các thông tin được đảm bảo bằng chữ ký sô của người câp chứng chỉ Người nào muốn sử dụng chứng chỉ
trước hết sẽ kiểm tra chữ ký số trong chứng chỉ Nếu đó là chữ ký hợp lệ thì sau đó có thể
sử dụng chứng chỉ theo mục đích mong muôn
Có nhiều loại chứng chỉ, một trong số đó là:
~ Chứng chỉ khoá công X.509
~ Chứng chỉ khoá công đơn giản (Simple Public Key Certificates - SPKC)
- Chimg chi Pretty Good Privacy (PGP)
- Chimg chi thudc tinh (Attribute Certificates - AC)
Tắt cả các loại chứng chỉ này đều có cấu trúc định dạng riêng Hiện nay chứng chỉ khoá công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI Hệ thống chương trình cấp chứng chỉ số thử nghiệm cũng sử dụng định dạng chứng chỉ theo X.509,
nên bài báo cáo này tập trung vào xem xét chi tiết chứng chỉ công khai X.509 Trong bài
báo cáo, thuật ngữ chứng chỉ “certificate” được sử dụng đồng nghĩa với chứng chỉ khoá
công khai X.509 v3
1.2 Chứng chỉ khoá công khai X.509
Chứng chỉ X.509 v3 là định dạng chứng chỉ được sử dụng phổ biến và được hầu hết
các nhà cung cấp sản phẩm PKI triển khai
Chứng chỉ khoá công khai X.509 được Hội viễn thông quốc tế (TTU) đưa ra lần đầu
tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500
Chứng chỉ gồm 2 phần Phần đầu là những trường cơ bản cần thiết phải có trong
chứng chỉ Phần thứ hai chứa thêm một số trường phụ, những trường phụ này được gọi là
trường mở rộng dùng đẻ xác định và đáp ứng những yêu cầu bổ sung của hệ thống Khuôn dạng của chứng chỉ X.509 được chỉ ra như trong hình 1.2
Hạ tầng khóa công khai trong VPN 7
Trang 8
Version number
Serial number
Signature
Issuer
Validity period
Subject
Subject public key Information
Issuer unique identifier
Subject unique identifier
Extensions
Hình 1.2: Khuôn dạng chứng chi X.509
a Những trường cơ bản của chứng chỉ X.509
~ Version: xác định số phiên bản của chứng chỉ
- Certificate Serial Number: do CA gán, là định danh duy nhất của chứng chỉ _ 7 Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng chỉ Có thê là thuật toán RSA hay DSA
~ Issuer: chỉ ra CA cấp và ký chứng chỉ
~ Validity Period: khoảng thời gian chứng chỉ có hiệu lực Trường này xác định
thời gian chứng chỉ bắt đầu có hiệu lực và thời điểm hêt hạn
- Subject: xac dinh thực thể mà khoá công khai của thực thể này được xác nhận Tên của subject phải duy nhât đôi với mỗi thực thê CA xác nhận
- Subject public key information: chứa khoá công khai và những tham số liên quan; xác định thuật toán (ví dụ RSA hay DSA) được sử dụng cùng với khoá
~ Issuer Unique ID (Optional): là trường không bắt buộc, trường này cho phép sử
dụng lại tên người cấp Truong nay hiếm được sử dụng trong triển khai thực tế
- Subject Unique ID (Optional): là trường tuỳ chọn cho phép sử dụng lại tên của subject khi quá hạn Trường này cũng ít được sử dụng
~ Extensions (Optional): chỉ có trong chứng chỉ v.3
Trang 9- Certification Authority’s Digital Signature: chit ky số của CA được tính từ những thông tin trên chứng chỉ với khoá riêng và thuật toán ký số được chỉ ra trong trường Signature Algorithm Identifier của chứng chỉ
Tính toàn vẹn của chứng chỉ được đảm bảo bằng chữ ký số của CA trên chứng chỉ
Khoá công khai của CA được phân phối đến người sử dụng chứng chỉ theo một số cơ chế
bảo mật trước khi thực hiện các thao tác PKI Người sử dụng kiểm tra hiệu lực của chứng
chỉ được cấp với chữ ký số của CA và khoá công khai của CA
b Những trường mở rộng của chứng chỉ X.509
Phần mở rộng là những thông tin về các thuộc tính cần thiết được đưa vào để gắn
những thuộc tính này với người sử dụng hay khoá công Những thông tin trong phần mở
rộng thường được dùng để quản lý xác thực phân cấp, chính sách chứng chỉ, thông tin về chứng chỉ bị thu hồi Nó cũng có thể được sử dụng để định nghĩa phần mở rộng riêng chứa những thông tin đặc trưng cho cộng đồng nhất định Mỗi trường mở rộng trong
chứng chỉ được thiết kế với cờ “critical” hoac “uncritical”
: Authority Key Indentifier: chứa ID khoá công khai của CA, ID nay là duy nhất
và được dùng để kiểm tra chữ ký số trên chứng chỉ Nó cũng được sử dụng dé phân biệt
giữa các cặp khoá do một CA sử dụng (trong trường hợp nêu CA có nhiều hơn một khoá công khai) Trường này được sử dụng cho tất cả các chứng chỉ tự ký số (CA - certificates)
- Subject Key Identifier: chứa ID khoá công khai có trong chứng chỉ và được sử
dụng để phân biệt giữa các khoá nếu như có nhiều khoá được gắn vào trong cùng chứng
chỉ của người sử dụng (Nếu chủ thể có nhiều hơn một khoá công khai)
- Key Usage: chứa một chuỗi bit được sử dụng để xác định (hoặc hạn chế) chức năng hoặc dịch vụ được hỗ trợ qua việc sử dụng khoá công khai trong chứng chỉ
- Extended Key Usage: chứa một hoặc nhiều OIDs (định danh đối tượng — Object
Identifier) để xác định cụ thê việc sử dụng khoá công trong chứng chỉ Các giá trị có thể là
: (1) xác thực server TLS, (2) xác thực client TLS, (3) Ký Mã, (4) bảo mật e-mail , (Š) Tem
- Policy Mappings: trường này chỉ ra chính sách xác thực tương đương giữa hai
miền CA Nó được sử dụng trong việc thiết lập xác thực chéo và kiểm tra đường dẫn chứng chỉ Trường này chỉ có trong chứng chỉ CA
- Subject Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người sở hữu
chứng chỉ Những giá trị có thé la: dja chi e-mail, dia chi IP, dia chi URI
- Issuer Alternative Name: chi ra những dang tên lựa chọn gắn với người cấp
chứng chỉ
Hạ tầng khóa công khai trong VPN 9
Trang 10- Subject Directory Attributes: trường này chỉ ra dãy các thuộc tính gắn với người
sở hữu chứng chỉ Trường mở rộng này không được sử dụng rộng rãi Nó được dùng để chứa những thông tin liên quan đến đặc quyền
- Basic Constraints Field: trường này cho biết đây có phải là chứng chỉ CA hay không bằng cách thiết lập giá trị logic (true) Trường này chỉ có trong chứng chỉ CA
Chứng chỉ CA dùng để thực hiện một sô chức năng Chứng chỉ này có thể ở một trong hai dạng Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này được gọi là chứng chỉ CA tự
ký Khi một CA mới được thiết lập, CA tạo ra một chứng chỉ CA tự ký để ký lên chứng chỉ
của người sử dụng cuôi trong hệ thống Và dạng thứ hai là CA cấp chứng chỉ cho những
- Name Constrainsts: được dùng để bao gồm hoặc loại trừ các nhánh trong những
miền khác nhau trong khi thiết lập môi trường tin tưởng giữa các miền PKI
- Policy Constraints: dugc ding để bao gồm hoặc loại trừ một số chính sách chứng
chỉ trong khi thiết lập môi trường f tin tưởng giữa các miền PKI
Hình 1.3 là nội dung chi tiết một chứng chỉ do hệ thống MyCA cấp
Trang 11
mm -:-
General Details | Certification Path |
>; as =|
WElvarsion v3
E\serial number 1E85 4B
[=] Signature algorithm shalRSA
Ehissuer VN, MyCA Group, E15, Root
IElvaid from Wednesday, May 12, 2004 11
FE Wvalid to Friday, May 12, 2006 11:48:5 ,
f= Jsubject VN, MyCA Group, MyCA User,
Elpubic key RSA (1024 Bits) x
Trong một số trường hợp như khoá bị xâm hại, hoặc người sở hữu chứng chỉ thay
đổi vị trí, cơ quan thì chứng chỉ đã được cấp không có hiệu lực Do đó, cần phải có một
cơ chế cho phép người sử dụng chứng chỉ kiểm tra được trạng thái thu hồi chứng chỉ
X.509 cho phép kiêm tra chứng chỉ trong các trường hợp sau:
~ Chứng chỉ không bị thu hồi
~ Chứng chỉ đã bị CA cấp thu hồi
~ Chứng chỉ do một tổ chức có thâm quyền mà CA uỷ thác có trách nhiệm thu hồi chứng chỉ thu hồi
Cơ chế thu hồi X.509 xác định là sử dụng danh sách thu hồi chứng chỉ (CRLs)
X.509 đưa ra sự phân biệt giữa ngày, thời gian chứng chỉ bị CA thu hồi và ngày, thời gian
trạng thái thu hồi được công bố đầu tiên Ngày thu hồi thực sự được ghi cùng với đầu vào
chứng chỉ trong CRL Ngày thông báo thu hồi được xác định trong header cla CRL khi nó được công bố Vị trí của thông tin thu hồi có thể khác nhau tuỳ theo CA khác nhau Bản
thân chứng chỉ có thể chứa con trỏ đến nơi thông tin thu hồi được xác định vị trí Người sử
Hạ tầng khóa công khai trong VPN 11
Trang 12dụng chứng chỉ có thể biết thư mục, kho lưu trữ hay cơ chế dé lay được thông tin thu hồi
dựa trên những thông tin cấu hình được thiết lập trong quá trình khởi sinh
Để duy trì tính nhất quán và khả năng kiêm tra, CA yêu cầu:
- Duy tri bản ghi kiém tra chimg chi thu hồi
~ Cung cấp thông tin trạng thái thu hồi
~ Công bố CRLs khi CRL là danh sách trông
1.4 Chính sách của chứng chỉ
Như được giới thiệu trong phần trên, một số mở rộng liên quan đến chính sách có trong chứng chỉ Những mở rộng liên quan đến chính sách này được sử dụng trong khi
thiết lập xác thực chéo giữa các miền PKI Một chính sách chứng chỉ trong X.509 được
định nghĩa là “tên của tập các qui tắc chỉ ra khả năng có thể sử dụng của chứng chỉ cho
một tập thể đặc thù và một lớp ứng dụng với những yêu cầu bảo mật chung”
Chính sách có định danh duy nhất (được biết đến như định danh đối tượng hay OID) và định danh này được đăng ký để người cấp và người sử dụng chứng chỉ có thể
nhận ra và tham chiếu đến Một chứng chỉ có thể được câp theo nhiều chính sách Một số
có thể là thủ tục và mô tả mức đảm bảo gắn với việc tạo và quản lý chứng chỉ Những chính sách khác có thể là kỹ thuật và mô tả mức đảm bảo gắn với an toàn của hệ thống
được sử dụng để tạo chứng chỉ hay nơi lưu trữ khoá
Một chính sách chứng chỉ cũng có thể được hiểu là việc giải thích những yêu cầu và
giới hạn liên quan đến việc sử dụng chứng chỉ được công bố theo những chính sách nay Chính sách chứng chỉ - Certificate Policies (CP) được chứa trong trường mở rộng chuân
của chứng chỉ X.509 Bằng việc kiểm tra trường này trong chứng chỉ, hệ thống sử dụng chứng chỉ có thể xác định được một chứng chỉ cụ thể có thích hợp cho mục đích sử dụng hay không
Một thuật ngữ chuyên môn khác “Certificate Practice Statement (CPS)” được sử
dụng dé mô tả chỉ tiết những thủ tục hoạt động bên trong của CA và PKI cấp chứng chỉ với chính sách chứng chỉ đã qui định
Chính sách chứng chỉ đặc biệt quan trọng khi đưa ra quyết định để xác nhận chéo
hai PKI khác nhau
1.5 Công bố và gửi thông báo thu hồi chứng chi
Thông thường chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực Nhưng trong
một sô trường hợp chứng chỉ lại không hợp lệ trước thời gian hêt hạn, ví dụ như:
~ Khoá riêng của chủ thể bị xâm phạm
~ Thông tin chứa trong chứng chỉ bị thay đổi
~ Khoá riêng của CA cấp chứng chỉ bị xâm phạm
Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác Một trong những phương pháp dé thông báo đến người sử dụng vê trạng thái
của chứng chỉ là công bố CRLs định kỳ hoặc khi cân thiết Ngoài ra, có một sô cách lựa
Trang 13chọn khác dé thông báo đến người sử dụng như dùng phương pháp trực tuyến Online
Certificate Status Protocol
a Certificate Revocation Lists (CRLs)
CRLs là cấu trúc dữ liệu được ký như chứng chỉ người sử dụng CRLs chứa danh sách các chứng chỉ đã bị thu hồi và những thông tin cần thiết khác của người sử dụng
CRL thường do một CA cấp Tuy nhiên CRL cũng có thể được sử r dụng để cung cấp thông tin cho nhiêu CA nếu nó được định nghĩa như một CRL gián tiếp Những thông tin này
được chứa trong trường mở rộng CRL Scope
Hình 1.4 là khuôn dạng danh sách chứng chỉ bị thu hồi
Version number
Signature
Issuer
This update
Next update User certificate Date of serial number revocation
Revocation reason
User certificate Date of serial number revocation
Revocation reason
CRL extensions
Hình 1.4: Khuôn dạng danh sách chứng chỉ bị thu hồi
Trong đó:
~ Version number: chỉ ra phiên bản của CRL
- Signature: nhan biết loại hàm băm và thuật toán ký được sử dụng để ký danh
sách thu hồi CRL
~ Issuer: tên của thực thể cấp và ký CRL
~ This Update: chỉ ra ngày và thời gian CRL được công bố
- Next Update: chi ra ngày và thời gian danh sách thu hồi kế tiếp được cấp
Hạ tầng khóa công khai trong VPN 13
Trang 14- List of revoked certificates: chứa danh sách cùng với serial của những chứng chỉ
bị thu hồi
Những chứng chỉ đã bị CA thu hồi được ghi vào danh sách theo thứ tự của
revokedCertificates Mỗi đầu vào nhận biết chứng chỉ thông qua số serial và ngày thu hồi
trên đó có ghi rõ thời gian và ngày khi chứng chỉ bị CA thu hồi
b Authority Revocation List (ARLs)
ARL là một CRL đặc biệt chứa thông tin thu hồi về chứng chỉ CA ARLs không
chứa chứng chỉ của người sử dụng cuối Những thay đổi thông thường trong ARL thường
hiếm khi xảy ra bởi vì chứng chỉ của CA chỉ bị thu hồi khi khoá riêng của CA bị xâm hại
và đó lại là trường hợp không thường xảy ra Nếu chứng chỉ chéo bị thu hồi thì người cấp
chứng chỉ chéo này sẽ công bố một ARL mới để thông báo với tất cả các thực thể khác về tình huống này ARLs được sử dụng chủ yếu trong quá trình thâm tra đường dẫn chứng chỉ nếu môi trường t tin cậy bao gồm CA có chứng chỉ xác thực chéo
c Cơ chế truy vấn On-line (On-line Query Mechanisms)
CRLs và ARLs giúp người sử dụng cuôi nhận biết được về tình trạng thu hồi chứng
chỉ Nhưng có một vấn đề nảy sinh là điều gì sẽ xảy ra nếu CA thu hồi chứng chỉ ngay sau
khi vừa công bố CRL Không có người sử dụng nào nhận biết được về việc thu hồi này đến
khi một CRL mới được thông báo
Một lược đồ khác để kiểm soát được trạng thái của chứng chỉ do IETE phát triển là OCSP (Online Certificate Status Protocol) Lược đồ này dựa trên cơ chế truy vấn trực tiếp hơn việc công bố định kỳ CRLs và ARLs OCSP là giao thức yêu cầu/ trả lời đưa ra cơ chế
để nhận được thông tin thu hồi trực tuyến từ thực thê tin cậy là “OCSP Responder” Người
sử dụng cuối thực hiện yêu cầu với “OCSP Request” với một danh sách các chứng chỉ cần được kiểm tra, OCSP Responder trả lời yêu cầu “OCSP Reply” với trạng thái của mỗi chứng chỉ Chứng chỉ có thể ở một trong ba trạng thái sau: “good”, “revoked” và
“unknown”
Sử dụng dịch vụ online có một số ưu điểm sau:
~ Trả lời thường xuyên và luôn có tính chất mới
~ Thời gian trả lời nhanh
~ Giảm thiểu việc sử dụng băng thông mạng sẵn có
Trang 15CA certificate
DB
Online Online revocation revocation
LDAP directory
Hinh 1.5: Dich vy kiém tra online
Hạ tầng khóa công khai trong VPN 15
Trang 16_ PHAN2
HA TANG MA KHOA CONG KHAI (PKI)
2.1 Téng quan vé PKI
Public Key Infrastructure (PKT) là một cơ chế để cho một bên thứ ba (thường là nhà
cung cấp chứng thực số ) cung câp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của người dùng Khoá công khai thường được phân phối trong chứng thực khóa công khai - hay Public Key Infrastructure Khái niệm hạ tầng khoá công khai (PKI) thường được dùng chỉ toàn bộ hệ thống bao gồm
cả nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc
sử dụng các thuật toán mã hoá công khai trong trao đổi thong tin
2.2 Các thành phần của PKI
Một hệ thống PKI gồm 4 thành phần sau:
% Certification Authorities (CA)
$Cấp và thu hồi chứng chỉ
` Registration Authorifies (RA)
$Găn kêt giữa khoá công khai và định danh của người giữ chứng chỉ
Các thành phần PKI và các mối quan hệ giữa chúng được chỉ ra như trong hình 2.1
Đây là mô hình kiến trúc PKI do PKIX đưa ra
