Chữ ký số Digital Signature Là kết quả của phép chuyển đổi mộtthông điệp bằng một hệ thống cácphép mã hoá có sử dụng các khoá mà một đối tượng nhận được thôngtin có thể xác định được: i
Trang 1Khoa Quốc tế và Đào tạo sau đại học
-o0o -TIỂU LUẬN
AN NINH MẠNG
Nội Dung:
HẠ TẦNG KHÓA CÔNG KHAI
Nguyễn Minh Thành Trịnh Hữu Lực
Nguyễn Trung Quân
Hà Nội, 07-2012
Trang 2MỤC LỤC
MỤC LỤC 1
THUẬT NGỮ VIẾT TẮT 5
ĐẶT VẤN ĐỀ 10
1.1 Giới thiệu PKI 12
1.1.1. Các yêu cầu cơ bản trong bảo mật an toàn thông tin 12
1.1.2. Khả năng đáp ứng của các dịch vụ sử dụng PKI 13
1.1.3. Các dịch vụ bảo mật an toàn thông tin dựa trên hệ thống PKI 14
1.2 Các thành phần cơ bản của hệ thống PKI 14
1.2.3. Đối tượng quản lý đăng ký chứng thực số 16
1.2.4. Chứng chỉ số(Certificate) 16
1.2.5. Cơ quan tạo dấu thời gian (TSA) 16
1.3 Các hoạt động cơ bản trong hệ thống PKI 17
1.3.1. Mô hình tổng quát của hệ thống PKI 17
1.3.2. Thiết lập chứng chỉ số 18
1.3.3. Khởi tạo các EE 18
1.3.4. Các hoạt động liên quan đến giấy chứng nhận 19
1.3.4.1 Đăng ký và xác nhận ban đầu 19
1.3.4.2 Cập nhật thông tin về cặp khoá 19
1.3.4.3 Cập nhật thông tin về thẻ xác nhận 19
1.3.4.4 Cập nhật thông tin về cặp khoá của CA 20
1.3.4.5 Yêu cầu xác nhận ngang hàng 20
1.3.5. Phát hành thể và danh sách các thẻ bị huỷ bỏ 21
1.3.6. Các hoạt động phục hồi 21
1.3.7. Các hoạt động huỷ bỏ 22
1.4 Cấu trúc của các thông điệp PKI 22
1.4.1. Giới thiệu về nguyên tắc giải mã 22
1.4.2. Cấu trúc tổng quát của thông điệp PKI 24
1.4.3. Trường PKI Header 25
Trang 31.4.4. Trường PKIBody 26
1.4.4.1 Thông điệp yêu cầu khởi tạo 29
1.4.4.2 Thông điệp trả lời yêu cầu khởi tạo 29
1.4.4.3 Thông điệp yêu cầu đăng ký/yêu cầu thẻ xác nhận 29
1.4.4.4 Thông điệp trả lời yêu cầu đăng ký/yêu cầu thẻ xác nhận 30
1.4.4.5 Thông điệp yêu cầu cập nhật khoá 30
1.4.4.6 Thông điệp trả lời yêu cầu cập nhật khoá 30
1.4.4.7 Thông điệp yêu cầu khôi phục khoá 30
1.4.4.8 Thông điệp trả lời yêu cầu khôi phục khoá 30
1.4.4.9 Thông điệp yêu cầu huỷ bỏ 31
1.4.4.10 Thông điệp trả lời yêu cầu huỷ bỏ 31
1.4.4.11 Thông điệp yêu cầu thẻ xác nhận ngang hàng 32
1.4.4.12 Thông điệp trả lời yêu cầu xác nhận ngang hàng 32
1.4.4.13 Thông điệp công bố cập nhật khoá CA 32
1.4.4.14 Thông điệp công bố thẻ xác nhận 32
1.4.4.15 Thông điệp thông báo huỷ bỏ thẻ xác nhận 33
1.4.4.16 Thông điệp thông báo CRL 33
1.4.4.17 Thông điệp xác nhận 34
1.4.4.18 Thông điệp PKI đa mục đích 34
1.4.4.19 Thông điệp trả lời tổng quát 34
1.4.4.20 Thông điệp thông báo lỗi 34
1.5 Các mô hình triển khai hệ thống PKI 35
1.5.1. Kiến trúc phân cấp 35
1.5.1.1 Những ưu điểm của kiến trúc PKI phân cấp 36
1.5.1.2 Những khuyết điểm của kiến trúc PKI phân cấp 36
1.5.2. Kiến trúc hệ thống PKI mạng lưới 37
1.5.2.1 Ưu điểm của kiến trúc PKI mạng lưới 38
1.5.2.2 Nhược điểm của mô hình PKI mạng lưới 38
1.5.3. Kiến trúc danh sách tin cậy 38
1.5.3.1 Ưu điểm của kiến trúc PKI danh sách tin cậy 39
Trang 41.5.3.2 Nhược điểm của kiến trúc PKI danh sách tin cậy 40
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 42 TÀI LIỆU THAM KHẢO 44
Trang 5THUẬT NGỮ VIẾT TẮT
An toàn an ninh thông tin
(Information Security)
Là các biện pháp tác động lện hệthống thông tin và bản thân thông tin
để đảm bảo thông tin không bị thayđổi, phá huỷ Đồng thời, kiểm soátđược các đối tượng truyền và nhậnthông tin
CA cấp trên
(Superior CA)
Là những CA chứng nhận những thẻxác nhận và giám sát hoạt động củacác CA khác
CA gốc
(Root CA)
Trong một sơ đồ PKI phân cấp, đây
là CA với khoá công khai được tintưởng ở mức độ cao nhất bởi các đốitượng của một domain
Cặp khoá
(Key Pair)
Hai khoá có liên quan đến nhau vềmặt toán học với hai thuộc tính: (i)Một khoá có thể được dùng để mã hoá
và việc giải mã chỉ được thực hiện khi
có khoá còn lại (ii) Khi biết mộttrong hai khoá thì việc tính toán đểtìm ra khoá còn lại là không thể thựchiện được
Chính sách thẻ xác nhận Là một dạng chính sách quản trị các
Trang 6(Certìicate Policy) giao tác điện tử được thực hiện trong
quá trình quản lý thẻ xác nhận Chínhsách này đáp ứng tất cả các yêu cầucủa quá trình tạo, phân phát, thống kê,phục hồi và quản trị các thẻ xác nhậnsố
Chữ ký số
(Digital Signature)
Là kết quả của phép chuyển đổi mộtthông điệp bằng một hệ thống cácphép mã hoá có sử dụng các khoá
mà một đối tượng nhận được thôngtin có thể xác định được: (i) Dữ liệuđược gửi đến có phải được tạo ra vớikhoá riêng ứng với khoá công khaitrong thẻ xác nhận của đối tượng gửihay không (ii) Thông tin nhận được
có bị thay đổi sau khi phép chuyểnđổi được thực hiện không Thông tin
bị coi là đã thay đổi nếu ta không thểkiểm chứng được chữ ký số với khoácông khai tương ứng của đối tượng đãtạo chữ ký số
Danh sách tin cậy
(Trust List)
Tập hợp các thẻ xác nhận đã đượcmột đối tượng sử dụng tin cậy vàdùng để xác thực những thẻ xác nhậnkhác
Danh sách thẻ xác nhận bị huỷ bỏ
(Certificate Revocation List - CRL)
Một danh sách do CA quản lý baogồm các thẻ xác nhận bị huỷ bỏ trướckhi chúng hết hạn
Dữ liệu chưa mã hóa
Trang 7Định danh đối tượng
(Object Identifier – OID)
Là một só có định dạng riêng và đãđược đăng ký với một tổ chức đượccông nhận trên phạm vi quốc tế
Đối tượng quản lý đăng ký
(Registration Authority - RA)
Là đối tượng có vai trò phân biệt vàxác thực các đối tượng của thẻ xácnhận nhưng không ký và cấp các thẻxác nhận
Đối tượng quản lý xác nhận
(Certification Authority – CA)
Là đối tượng được tin cậy bởi mộtnhóm người sử dụng nhất định vớichức năng phát hành và quản lý cácthẻ xác nhận và danh sách thẻ xácnhận bị huỷ bỏ
Hạ tầng khoá công khai
(Public Key Infrastructure - PKI)
Một tập các chính sách, các tiếntrình xử lý, các máy chủ dịch vụ,các máy trạm cùng với các phầnmềm được sử dụng để quản lý cácthẻ xác nhận cùng với các cặp khoácông khai/khoá riêng Trong đó, cáctính năng chính bao gồm việc pháthành, duy trì và huỷ bỏ các thẻ xácnhận chứa khoá công khai
Kênh truyền thông riêng
(Out-of-band)
Quá trình truyền thông giữa các đốitượng thông qua các phương tiện khácvới các phương tiện được sử dụng đểduy trì liên lạc thông thường giữa cácđối tượng trong hệ thống
Khoá công khai
(Public Key)
(i) Khoá thuộc về một cặp khoá tạochữ ký số được sử dụng để kiểmchứng một chữ ký số (ii) Khoá thuộc
về một cặp khoá mã hóa được sửdụng để mã hóa thông tin bí mật
Trang 8thường được phổ biến với các thẻ xácnhận.
Khoá riêng
(Private Key)
(i) Khoá thuộc về một cặp khóa được
sử dụng để tạo chữ ký số (ii) Khoáthuộc về một cặp khoá mã hóa được
sử dụng để giải mã các thông tin bímật Trong cả hai trường hợp, khoánày phải được giữ bí mật
Không thể bác bỏ
(Non-repudiation)
Tính năng này đề cập tới việc: nếumột đối tượng có thể kiểm chứngmột chữ ký số bằng một khoá côngkhai nào đó thì điều đó chứng tỏ đốitượng đang nắm giữ khoá riêng tươngứng đã tạo ra chữ ký số này
Mã hoá bảo mật
(Encrypt)
Quá trình biến đổi thông tin ban đầuthành thông tin có dạng trực quan làngẫu nhiên và vô nghĩa
Mã hoá dữ liệu
(Encode)
Quá trình đóng gói thông tin thànhcác khuôn dạng phù hợp để truyềnthông hoặc lưu trữ
Phương tiện lưu trữ
(Repository)
Một hệ thống với phần cốt lõi là cơ sở
dữ liệu chứa thông tin về thẻ xác nhận
và danh sách thẻ xác nhận bị huỷ bỏ.Tấn công phát lại gói tin
(Replay Attack)
Là hình thức tấn công dựa trên việcbắt gói tin truyền đến, thực hiện cácchỉnh sửa theo ý muốn và phát đi
Trang 9trong các thời điểm sau này tới cácđối tượng nhận.
Tin cậy
(Trust)
Là việc chấp nhận một hành độnghoặc một thể hiện của đối tượng nào
Thẻ xác nhận
(Certificate)
Là hình thức biểu diễn thông tin dướidạng số với các thông tin tối thiểusau: (i) CA phát hành thẻ này (ii)Định danh của đối tượng sử dụng.(iii) Khoá công khai của đối tượng
sử dụng (iv) Thời gian hiệu lực củathẻ Thẻ này phải được ký bởi CA tạo
ra nó
Thẻ xác nhận ngang hàng
(Cross-Certificate)
Là thẻ xác nhận được dùng để thiếtlập mối quan hệ tin cậy giữa các CA.Trao đổi khoá
(Key Exchange)
Là quá trình trao đổi các khoá để cóthể thiết lập một kênh liên lạc an toàn.Xác thực
(Authenticate)
Khẳng định những thông tin về địnhdanh của một đối tượng khi đối tượng
đó trình diện
Trang 10ĐẶT VẤN ĐỀ
Kể từ khi ra đời gần ba mươi năm trước đây, phương thức mã hoá bảomật với khoá công khai đã tạo nên một hướng phát triển mới cho các dịch vụ antoàn và an ninh thông tin Tư tưởng cốt lõi của phương thức mã hoá bảo mậtvới khoá công khai là việc sử dụng cặp khoá công khai và khoá riêng Mỗi đốitượng truyền thông đều có một cặp khoá công khai và khoá riêng Khoá côngkhai của một đối tượng được thông báo cho tất cả các đối tượng tham giatruyền thông, còn khoá riêng chỉ do đối tượng đó nắm giữ
Đối tượng truyền sẽ mã hoá thông tin cần truyền với khoá công khai của đốitượng nhận Sau đó, thông tin đã mã hoá sẽ được truyền đến cho đối tượng nhận.Sau khi nhận được thông tin truyền đến, đối tượng nhận sẽ giải mã thông tintruyền đến với khoá riêng của mình
Khi các dịch vụ an toàn sử dụng khoá công khai được phát triển rộng rãi thìviệc quản lý đối tượng cùng với khoá công khai trở nên phức tạp và phải đốimặt với nhiều vấn đề về an toàn và an ninh thông tin Mặt khác, do phạm viứng dụng của các thông tin về khoá công khai là rất rộng lớn (có thể là trongphạm vi quốc gia hoặc xuyên quốc gia) nên phải có được sự thống nhất về cáckhoá công khai để đảm bảo các đối tượng có thể tham gia truyền thông ở nhiềuphạm vi khác nhau với nhiều dịch vụ an toàn và an ninh khác nhau
Trong những năm gần đây, một hướng giải quyết đã được nghiên cứu và triển
khai, đó là Hạ Tầng Khoá Công Khai (Public Key Infrastructure - PKI) PKI là
dịch vụ ở mức nền, nó đảm bảo về việc tạo lập, quản lý và phân phát các khoácông khai của những đối tượng tham gia vào các dịch vụ an toàn, an ninh (dựatrên phương thức mã hoá với khoá công khai) thông qua các thẻ xác nhận PKI
có thể được triển khai trên nhiều phạm vi khác nhau; do vậy, nó có thể giảiquyết những khó khăn mà các ứng dụng an toàn an ninh gặp phải khi phải triểnkhai trên phạm vi rộng và đối tượng sử dụng đa dạng
Việc nghiên cứu và triển khai hệ thống PKI trong phạm vi một doanh nghiệp hay
ở tầm cỡ một quốc gia đều đòi hỏi phải có những nghiên cứu kỹ lưỡng và một tầm
Trang 11nhìn chiến lược Theo nhiều ý kiến nhận định, PKI có tiềm năng phát triển vàứng dụng rất lớn Nó sẽ được ứng dụng rộng rãi trong các việc đảm bảo antoàn và an ninh cho các hệ thống thông tin, trong thương mại điện tử, trong cáckênh liên lạc an toàn Nói chung, PKI là cần thiết cho hầu hết các ứng dụng sửdụng phương thức mã hoá bảo mật với khoá công khai.
Với mục tiêu tìm hiểu và nghiên cứu những đặc trưng và các hoạt động cơ bảncủa hệ thống PKI, trong phạm vi đồ án này, ta sẽ tìm hiểu những khái niệm cơbản, những cấu trúc dữ liệu đặc trưng, những mô hình hoạt động và nhữngchức năng cơ bản của hệ thống Trên cơ sở kết quả nghiên cứu, ta sẽ triển khaimột hệ thống PKI đơn giản nhằm minh hoạ quá trình hoạt động của hệ thốngtrong thực tế Đây cũng là cách để ta hiểu sâu hơn về hệ thống PKI, về những yêucầu của quá trình triển khai hệ thống và những lợi ích mà hệ thống này có thểmang lại
Trang 121.1 Giới thiệu PKI
Thành phần cốt lõi của hệ thống PKI là các thẻ xác nhận Mỗi thẻ xác nhận có haithành phần thông tin cơ bản là định danh và khoá công khai của đối tượng sử dụng.Các thẻ xác nhận này do đối tượng quản lý thẻ xác nhận tạo ra và ký với phươngthức chữ ký số Trong một số hệ thống, đối tượng quản lý đăng ký được tách riêng
ra khỏi CA Đối tượng này không tạo ra các thẻ xác nhận Nó có nhiệm vụ xác minhđối tượng truyền thông cho một CA sẽ cấp phát thẻ xác nhận cho đối tượng đó.Nghĩa là, quá trình xác thực khi một đối tượng yêu cầu một thẻ xác nhận của CA sẽ
do RA đảm nhận
Đúng như tên gọi của nó, PKI là một dịch vụ nền cho các dịch vụ an toàn an ninhdựa trên các thẻ xác nhận Trong các hệ thống này, PKI đảm nhận vai trò tạo lập,quản lý và phân phát các thẻ xác nhận cho các đối tượng truyền thông Nói tóm lại,tất cả các chức năng quản lý của hệ thống PKI đều hướng tới một yêu cầuduy nhất: Quản lý các đối tượng sử dụng trong hệ thống với khoá công khai củacác đối tượng đó
1.1.1 Các yêu cầu cơ bản trong bảo mật an toàn thông tin
An toàn an ninh thông tin bao hàm nhiều vấn đề khác nhau, trong đó, nếu nói đếncác biện pháp an toàn an ninh có sử dụng các phương pháp mã hoá (với khoá côngkhai), ta có thể kể đến 4 yêu cầu cơ bản sau đây:
Toàn vẹn dữ liệu: Toàn vẹn dữ liệu đảm bảo cho thông tin không bị thay đổibởi những đối tượng không được cấp thẩm quyền
Không thể bác bỏ: Các đối tượng không thể bác bỏ những hành động màmình đã thực hiện
Xác thực đối tượng: Khả năng xác thực đối tượng cho các đối tượng truyềntin biết chắc mình đang giao tiếp với đối tượng nào
Bí mật thông tin: Bí mật thông tin là yêu cầu trong việc đảm bảo rằng nếu Amuốn truyền thông tin cho B thì chỉ có B có thể đọc được thông tin này
1.1.2 Khả năng đáp ứng của các dịch vụ sử dụng PKI
Trang 13Trong phần này, ta sẽ lấy những ví dụ để minh hoạ khả năng đảm bảo cácyêu cầu về an toàn an ninh mà các dịch vụ sử dụng PKI (thực chất là các dịch vụ sửdụng phương thức mã hoá với khoá công khai) có thể đáp ứng Để tiện minh hoạ, talấy phương thức chữ ký số để mô tả trong các ví dụ dưới đây Chữ ký số là mộttrong số những dịch vụ tiêu biểu nhất dựa trên phương thức mã hoá với khoácông khai Trong quá trình hoạt động, phương thức này được kết hợp chặt chẽvới hệ thống PKI Đối với khả năng bảo vệ tính toàn vẹn dữ liệu, khi một thông điệp
đã được mã hoá (tạo chữ ký số cho thông điệp), mọi thay đổi đối với chữ ký sốđược tạo ra đều làm cho nó không thể được kiểm chứng bởi đối tượng nhận Dovậy, nếu đối tượng nhận không thể kiểm chứng được chữ ký số tạo bởi đối tượngtruyền thì chứng tỏ thông tin truyền đi đã bị thay đổi hoặc có sai sót
Với vấn đề đảm bảo tính không thể bác bỏ, khi một đối tượng muốn tạo chữ
ký số cho một thông điệp, do chỉ đối tượng đó biết được khoá riêng của mìnhnên nếu ta có thể kiểm chứng được một chữ ký số với khoá công khai của đốitượng nào đó thì chứng tỏ đối tượng đó đã tạo ra chữ ký số với khoá riêng tươngứng Nghĩa là, tính không thể bác bỏ gắn các đối tượng với những hành động mà đốitượng đó đã thực hiện
Với yêu cầu xác thực đối tượng, khi một đối tượng A muốn xác thực địnhdanh của đối tượng B, nó gửi một thông điệp với một số thông tin nhất định dướidạng mã xác thực đến cho B B tạo chữ ký số đối với thông điệp nhận được bằngkhoá riêng của mình và truyền lại cho A A thực hiện kiểm chứng ký số của
B trên thông điệp vừa nhận được bằng khoá công khai của B Nếu thông thôngđiệp được kiểm chứng thì A biết chắc mình đang liên lạc với B
Với việc đảm bảo tính bí mật của thông tin, khi A muốn trao đổi thông tinvới B, A mã hoá thông tin cần truyền với khoá công khai của B rồi truyền cho B.Chỉ B biết khoá riêng của mình nên chỉ có B mới có thể giải mã và đọc được thôngtin
1.1.3 Các dịch vụ bảo mật an toàn thông tin dựa trên hệ thống PKI
Trang 14Trong sơ đồ dưới đây ta có thể có một cái nhìn khái quát về các dịch vụ antoàn an ninh sử dụng các thẻ xác nhận trên cơ sở PKI.
Hình 1.1 Các ứng dụng dựa trên hệ thống PKI 1.2 Các thành phần cơ bản của hệ thống PKI
Dưới góc độ các hoạt động quản lý hệ thống PKI, những đối tượng tham giavào hệ thống PKI bao gồm: các đối tượng sử dụng (EE), các đối tượng quản lý thẻxác nhận (CA) và các đối tượng quản lý đăng ký (RA) và các hệ thống lưu trữ
1.2.1 Chủ thể và các đối tượng sử dụng
Khái niệm chủ thể được sử dụng để chỉ đối tượng được ghi tên trong trườngsubject của một thẻ xác nhận Tuy nhiên, để tránh nhầm lẫn chủ thể với tên mộttrường của thẻ xác nhận, ta nên dùng cụm từ đối tượng sử dụng Ta cần lưu ý: Mộtchủ thể có thể là một CA hoặc một EE, đây là do đặc tính của quá trình cấp phát thẻxác nhận Thẻ xác nhận có thể được cấp cho CA hoặc EE Tuy nhiên, ta chỉ gọi các
EE là đối tượng sử dụng vì chỉ những thẻ cấp cho đối tượng loại này mới được sửdụng trực tiếp trong các dịch vụ an toàn an ninh Thẻ xác nhận cấp cho các CA chủyếu được dùng để hình thành mối tin cậy giữa chúng
Có một điều quan trọng mà ta cần lưu ý là khái niệm đối tượng sử dụngkhông chỉ bao hàm những người sử dụng các dịch vụ mà còn là chính bản thân cácdịch vụ đó Đây là một điều hiển nhiên bởi vì các trình ứng dụng an toàn an ninhđược đề cập đến ở đây là những dịch vụ dựa trên thẻ xác nhận Điều này sẽ ảnhhưởng đến những giao thức mà các hoạt động của hệ thống PKI sử dụng Ví dụ, mộtphần mềm ứng dụng có thể biết chắc những trường mở rộng nào của một thẻ xác
Trang 15nhận là cần thiết trong khi một người sử dụng phần mềm đó thì lại hầu như khôngbiết về những thông tin này Trong một số trường hợp cho phép, ta có thể coicác đối tượng sử dụng là những đối tượng không thuộc loại các đối tượngquản lý hệ thống PKI.
Tất cả các đối tượng sử dụng ít nhất phải có khả năng quản lý và truy cậpmột cách an toàn đến các thông tin sau:
Tên của chính đối tượng đó
Khoá riêng của đối tượng đó
Tên của CA được chính đối tượng này tin tưởng (trusted CA)
Khoá công khai của CA này
Trong quá trình triển khai, các đối tượng sử dụng những phương tiện lưu trữ
an toàn để lưu các thông tin ngoài những thông tin tối thiểu kể trên (thẻ xác nhậncủa đối tượng, các thông tin cho các dịch vụ cụ thể) Việc lưu trữ thông tin dướihình thức như trên được gọi là môi trường an toàn cá nhân
1.2.2 Nhà cung cấp chứng thực số CA (Certificate Authority)
Trong các hệ thống quản lý chứng chỉ số đang hoạt động trên thế giới, Nhàcung cấp chứng thực số (Certificate Authority - CA) là một tổ chức chuyên đưa ra
và quản lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng các khoácông khai (public key infrastructure - PKI), một CA sẽ kiểm soát cùng với một nhàquản lý đăng ký (Registration authority - RA) để xác minh thông tin về một chứngchỉ số mà người yêu cầu xác thực đưa ra Nếu RA xác nhận thông tin của người cầnxác thực, CA sau đó sẽ đưa ra một chứng chỉ
Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ số sẽbao gồm khoá công khai của người sở hữu, thời hạn hết hiệu lực của chứng chỉ, tênchủ sở hữu và các thông tin khác về chủ khoá công khai
1.2.3 Đối tượng quản lý đăng ký chứng thực số
Trang 16Một nhà quản lý đăng ký (Registration Authority - RA) là một cơ quan thẩmtra trên một mạng máy tính, xác minh các yêu cầu của người dùng muốn xác thựcmột chứng chỉ số, và yêu cầu CA đưa ra kết quả RA là một phần trong cơ sở hạtầng khoá công khai PKI, một hệ thống cho phép các công ty và người dùng trao đổicác thông tin và hoạt động tài chính một cách an toàn bảo mật.
1.2.4 Chứng chỉ số(Certificate)
Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân,một máy chủ, một công ty…trên Internet Giống như bằng lái xe, hộ chiếu, chứngminh thư hay những giấy tờ nhận diện cá nhân thông thường khác, chứng chỉ sốcung cấp bằng chứng cho sự nhận diện của một đối tượng
Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp Chứng chỉ sốcũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chínhxác, được gọi là Nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA)
CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số
mà mình cấp
Trong chứng chỉ số có ba thành phần chính:
Thông tin cá nhân của người được cấp
Khoá công khai (Public key) của người được cấp
Chữ ký số của CA cấp chứng chỉ
Thời gian hợp lệ
1.2.5 Cơ quan tạo dấu thời gian (TSA)
Một dấu thời gian đáng tin cậy là dấu thời gian được phát hành bởi một bênthứ ba đáng tin hoạt động như một cơ quan tạo dấu thời gian (TSA) Nó được sửdụng để chứng minh sự tồn tại của một dữ liệu nhất định trước một điểm nhất định(ví dụ như hợp đồng, dữ liệu nghiên cứu, hồ sơ y tế , ) mà chủ sở hữu của nókhông thể thay đổi để dấu thời gian lùi lại được
Trang 17Kỹ thuật này được dựa trên chữ ký số và hàm băm Trước tiên, một hàm băm sẽđược tính toán từ dữ liệu và được gửi đến TSA TSA sẽ ghép một dấu thời gian vàohàm băm đó và tính toán hàm băm của sự ghép nối này Sau đó hàm băm này sẽđược ký kỹ thuật số với khoá riêng của TSA Hàm đã ký đó cùng dấu thời gian sẽđược gửi trở lại cho người yêu cầu dấu thời gian để lưu trữ chúng các dữ liệu banđầu.
Timestamp
0010 01011
Timestamp 0010 01011
Calculate hash 0010 01011
Signed timestamp and hash are returned
to requester Apply priavte
key of the TSA
This is a digital signature of the hash concatenated
to the timestamp
Hình 1.2: Cơ quan tạo dấu TSA 1.3 Các hoạt động cơ bản trong hệ thống PKI
1.3.1 Mô hình tổng quát của hệ thống PKI
Trong sơ đồ dưới đây là các đối tượng của hệ thống PKI và mối quan hệ giữachúng trên cơ sở các hoạt động quản lý PKI Mối liên hệ được thể hiện bằng cácthông điệp được truyền đi giữa các đối tượng trong hệ thống
Trang 18Đăng tải thẻ xác nhận
Phát hành thẻ xác nhận
Phát hành thẻ xác nhận Phát hành danh sách thẻ cần hủy bỏ
Xác nhận ngang hàng Cập nhật thẻ xác nhận ngang hàng
Phát hành thông tin
“out of band”
Đăng ký/ Xác thực ban đầu Khôi phục cặp khóa Cập nhật cặp khóa Cập nhật thẻ xác nhận Yêu cầu hủy bỏ Thu nhập
thông tin
“out of band”
1.3.3 Khởi tạo các EE
Quá trình này đòi hỏi một số bước cơ bản như sau: Trước tiên, đối tượng nàyphải thu thập được thông tin về khoá công khai của CA gốc Điều này giúpcho các thông điệp được truyền đi giữa đối tượng đó và CA gốc được đảmbảo an toàn và cũng là một phương thức để xác thực EE Sau đó, EE phải thuthập thông tin về các tuỳ chọn được hỗ trợ bởi đối tượng quản lý PKI Điều này rất
Trang 19quan trọng vì nó ảnh hưởng đến giao thức hoạt động và các thông điệp mà EEtruyền đi hay nhận về.
1.3.4 Các hoạt động liên quan đến giấy chứng nhận
Có nhiều hoạt động liên quan tới thẻ xác nhận, các hoạt động đó được phân thành:
1.3.4.1 Đăng ký và xác nhận ban đầu
Trong quá trình này, trước tiên, EE phải thông báo cho CA hoặc RA biết về sự hiệndiện của mình trong hệ thống Đối tượng được thông báo có quyền ưu tiên cao hơn
là CA sẽ cấp phát cho EE này một thẻ xác nhận khi nó chấp nhận yêu cầu Kết quảcủa quá trình này là một CA sẽ tạo ra một thẻ xác nhận cho EE ứng với khoá côngkhai mà EE này cung cấp khi đăng ký Đồng thời, CA này cũng gửi thẻ xác nhậnnày đến cho hệ thống lưu trữ Trong một hệ PKI lớn, hệ thống lưu trữ có vai tròquan trọng và có tính độc lập cao đối với CA
Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bước nhỏ hơn Có thể, nó sẽ baogồm cả công đoạn khởi tạo các công cụ của EE Ví dụ, để có thể được sử dụng trongcông đoạn kiểm chứng đường dẫn đến các thẻ xác nhận, các công cụ của EE phảiđược khởi tạo một cách an toàn với khoá công khai của một CA nào đó Ngoài ra,một EE còn cần phải được khởi tạo với cặp khoá của chính nó
1.3.4.2 Cập nhật thông tin về cặp khoá
Mỗi đối tượng tham gia vào hệ thống PKI đều phải có một cặp khoá gồm khoá côngkhai và khoá riêng Tất cả các cặp khoá này cần phải được cập nhật một cáchthườngxuyên vì các cặp khoá này có thể được thay bằng cặp khoá mới Việc thay đổi thôngtin của các cặp khoá này có thể là do chúng đã hết hạn sử dụng hoặc đã bị lộ Như vậy, để đảm bảo tất cả các đối tượng có liên quan nắm được thông tin mới nhất
về cặp khoá của mình, đối tượng sở hữu cặp khoá phải tạo các thông điệp cậpnhật cặp khoá để gửi đến cho các đối tượng có liên quan
1.3.4.3 Cập nhật thông tin về thẻ xác nhận
Trang 20Mỗi thẻ xác nhận được cấp phát cho các đối tượng sử dụng chỉ có tác dụng trongmột khoảng thời gian đã định Khi các thẻ xác nhận này hết hạn và đối tượng sửdụng muốn tiếp tục có được thẻ xác nhận của mình thì CA quản lý đối tượng ấy sẽtạo ra một thẻ xác nhận mới cho đối tượng và phải làm nhiệm vụ cập nhật thông tin
về thẻ xác nhận này Trong trường hợp không có sự thay đổi nào về các tham sốmôi trường của hệ thống PKI, các CA có thể chỉ cần “làm tươi” các thẻ xác nhậnnày
1.3.4.4 Cập nhật thông tin về cặp khoá của CA
Cũng giống như đối với các EE, cặp khoá của CA cũng cần được cập nhật thườngxuyên Tuy nhiên, do vai trò và các mối liên hệ của CA trong hệ thống có nhiềukhác biệt và phức tạp hơn nên ta cần phải có những cơ chế thích hợp để thực hiệncông việc này Ví dụ, CA phải gửi được thông tin về cặp khoá công khai của mìnhtới tất cả các EE mà nó quản lý theo kiểu multicast Ngoài ra, nó còn phải gửi thôngtin này đến các CA khác có liên quan
1.3.4.5 Yêu cầu xác nhận ngang hàng
Khi diễn ra quá trình trao đổi thông tin giữa các CA ngang hàng, một CA có thể sẽyêu cầu CA còn lại gửi cho mình một thẻ xác nhận ngang hàng Thẻ xác nhận nganghàng này về bản chất cũng giống với các thẻ xác nhận dành cho các EE Trườngsubject của thẻ xác nhận ngang hàng dùng để chỉ CA được cấp thẻ còn trường issuerđược dùng để chỉ CA cấp phát thẻ
Trong các loại thẻ xác nhận ngang hàng, ta phân ra làm hai loại như sau: Nếu hai
CA thuộc về vùng quản lý khác nhau, ta có thẻ xác nhận ngang hàng liên miền Nếuhai CA thuộc cùng một vùng quản lý thì ta gọi đó là thẻ xác nhận ngang hàng nộimiền
Đối với các thẻ xác nhận ngang hàng, ta có một số chú ý sau:
Trang 21 Trong nhiều hệ thống PKI, nếu không có những định nghĩa chi tiết hơn, cácthẻ xác nhận ngang hàng thường được hiểu là thẻ xác nhận ngang hàng liênmiền
Việc phát hành các thẻ xác nhận ngang hàng không nhất thiết phải được tiếnhành ở cả hai CA Nghĩa là có cả trường hợp một CA được xác nhận bởi một
CA khác mà không có theo chiều ngược lại
1.3.4.6 Cập nhật thẻ xác nhận ngang hàng
Việc cập nhật thẻ xác nhận ngang hàng cũng giống với việc cập nhật thẻ xác nhậncho các đối tượng sử dụng Tuy nhiên, các đối tượng có liên quan đến quá trình nàychỉ là các CA
1.3.5 Phát hành thể và danh sách các thẻ bị huỷ bỏ
Có những hoạt động của hệ thống quản lý PKI sẽ dẫn đến việc tạo ra các thẻxác nhận hoặc danh sách các thẻ xác nhận bị huỷ bỏ Ta có hai hoạt động tiểu biểuthuộc loại này là: phát hành thẻ xác nhận và phát hành danh sách thẻ xác nhận bịhuỷ bỏ
Khi CA phát hành một thẻ xác nhận, trước tiên, nó cần phải dựa trên định dạng củathẻ xác nhận cần cấp Sau khi có được các thông tin về chính sách quản trị, CA sẽ tổchức chúng theo định dạng đã biết, khi đó, thẻ xác nhận đã hoàn thiện Tuy nhiên,việc phát hành thẻ xác nhận chỉ hoàn tất sau khi CA gửi thông tin về thẻ xácnhận này đến đối tượng sử dụng và lưu thẻ này vào hệ thống lưu trữ
Việc phát hành danh sách thẻ xác nhận bị huỷ bỏ cũng được tiến hành như vớidanh sách thẻ xác nhận Tuy nhiên, thông tin về danh sách này chỉ được truyền cho
hệ thống lưu trữ
1.3.6 Các hoạt động phục hồi
Các hoạt động phục hồi được thực hiện khi các đối tượng sử dụng đánh mấtthông tin mà nó lưu trữ Ví dụ, như đã nêu ở phần trên, các đối tượng sử
Trang 22dụng có thể có một số phương tiện lưu trữ an toàn cá nhân; khi phương tiện lưutrữ này bị hỏng thì nó cần phải nhờ đến CA để phục hồi các thông tin bị mất.
Việc phục hồi thông tin chủ yếu được tập trung vào việc phục hồi các cặp khoá Đốivới các CA và RA, việc lưu trữ thông tin backup về khoá của các đối tượng làkhông bắt buộc Khi các đối tượng sử dụng cần phục hồi các cặp khoá của mình, tacần phải có thêm một số giao thức chuyển đổi để hỗ trợ việc phục hồi khoá
1.3.7 Các hoạt động huỷ bỏ
Có một số hoạt động quản lý hệ thống PKI dẫn đến việc tạo một danh sáchthẻ xác nhận sẽ được huỷ bỏ hoặc bổ sung những thẻ cần được huỷ bỏ vào danhsách này Ví dụ, một đối tượng đã được phân quyền trong hệ thống có thể thông báocho CA về một trạng thái không bình thường và cần phải có một số yêu cầu huỷ bỏthẻ xác nhận Cụ thể, nếu ta phát hiện được một đối tượng đã đăng ký để lấy thẻ xácnhận có những biểu hiện không bình thường hoặc những thông tin do đối tượng này
có một số bất hợp lý thì ta có thể báo cho CA biết và huỷ bỏ thẻ xác nhận đã cấpcho đối tượng sử dụng đó
Đối với tất cả các hoạt động đã nêu trên, ta có một số lưu ý sau: Các giao thức làmviệc theo chế độ on-line không phải là giải pháp duy nhất để thực hiện các hoạtđộng trên Đối với tất cả các giao thức hoạt động theo chế độ on-line, ta đều có mộtphương thức hoạt động theo chế độ off-line cho kết quả tương đương
1.4 Cấu trúc của các thông điệp PKI
Tất cả các quá trình trao đổi thông tin giữa các đối tượng trong hệ thống PKI đềuđược thực hiện thông qua việc trao đổi các thông điệp được định nghĩa riêng cho hệthống Các thông điệp này được tạo ra trên cơ sở các chức hoạt động cơ bản của hệthống PKI đã được nêu trong phần trước Sau đây ta sẽ tìm hiểu chi tiết về các thôngđiệp được sử dụng trong hệ thống PKI
1.4.1 Giới thiệu về nguyên tắc giải mã
