Chínhsách này đáp ứng tất cả các yêu cầu củaquá trình tạo, phân phát, thống kê, phụchồi và quản trị các thẻ xác nhận số.Chữ ký số Digital Signature Là kết quả của phép chuyển đổi mộtthôn
Trang 1-o0o -TIỂU LUẬN
AN NINH MẠNG
Nội Dung:
HẠ TẦNG KHÓA CÔNG KHAI
Nguyễn Minh Thành Trịnh Hữu Lực
Nguyễn Trung Quân
Trang 2MỤC LỤC
MỤC LỤC 1
THUẬT NGỮ VIẾT TẮT 5
ĐẶT VẤN ĐỀ 10
1.1 Giới thiệu PKI 12
1.1.1. Các yêu cầu cơ bản trong bảo mật an toàn thông tin 12
1.1.2. Khả năng đáp ứng của các dịch vụ sử dụng PKI 13
1.1.3. Các dịch vụ bảo mật an toàn thông tin dựa trên hệ thống PKI 14
1.2 Các thành phần cơ bản của hệ thống PKI 14
1.2.3. Đối tượng quản lý đăng ký chứng thực số 16
1.2.4. Chứng chỉ số(Certificate) 16
1.2.5. Cơ quan tạo dấu thời gian (TSA) 16
1.3 Các hoạt động cơ bản trong hệ thống PKI 17
1.3.1. Mô hình tổng quát của hệ thống PKI 17
1.3.2. Thiết lập chứng chỉ số 18
1.3.3. Khởi tạo các EE 18
1.3.4. Các hoạt động liên quan đến giấy chứng nhận 19
1.3.4.1 Đăng ký và xác nhận ban đầu 19
1.3.4.2 Cập nhật thông tin về cặp khoá 19
1.3.4.3 Cập nhật thông tin về thẻ xác nhận 19
1.3.4.4 Cập nhật thông tin về cặp khoá của CA 20
1.3.4.5 Yêu cầu xác nhận ngang hàng 20
1.3.5. Phát hành thể và danh sách các thẻ bị huỷ bỏ 21
1.3.6. Các hoạt động phục hồi 21
1.3.7. Các hoạt động huỷ bỏ 22
1.4 Cấu trúc của các thông điệp PKI 22
1.4.1. Giới thiệu về nguyên tắc giải mã 22
1.4.2. Cấu trúc tổng quát của thông điệp PKI 24
1.4.3. Trường PKI Header 25
Trang 31.4.4. Trường PKIBody 26
1.4.4.1 Thông điệp yêu cầu khởi tạo 29
1.4.4.2 Thông điệp trả lời yêu cầu khởi tạo 29
1.4.4.3 Thông điệp yêu cầu đăng ký/yêu cầu thẻ xác nhận 29
1.4.4.4 Thông điệp trả lời yêu cầu đăng ký/yêu cầu thẻ xác nhận 30
1.4.4.5 Thông điệp yêu cầu cập nhật khoá 30
1.4.4.6 Thông điệp trả lời yêu cầu cập nhật khoá 30
1.4.4.7 Thông điệp yêu cầu khôi phục khoá 30
1.4.4.8 Thông điệp trả lời yêu cầu khôi phục khoá 30
1.4.4.9 Thông điệp yêu cầu huỷ bỏ 31
1.4.4.10 Thông điệp trả lời yêu cầu huỷ bỏ 31
1.4.4.11 Thông điệp yêu cầu thẻ xác nhận ngang hàng 32
1.4.4.12 Thông điệp trả lời yêu cầu xác nhận ngang hàng 32
1.4.4.13 Thông điệp công bố cập nhật khoá CA 32
1.4.4.14 Thông điệp công bố thẻ xác nhận 32
1.4.4.15 Thông điệp thông báo huỷ bỏ thẻ xác nhận 33
1.4.4.16 Thông điệp thông báo CRL 33
1.4.4.17 Thông điệp xác nhận 34
1.4.4.18 Thông điệp PKI đa mục đích 34
1.4.4.19 Thông điệp trả lời tổng quát 34
1.4.4.20 Thông điệp thông báo lỗi 34
1.5 Các mô hình triển khai hệ thống PKI 35
1.5.1. Kiến trúc phân cấp 35
1.5.1.1 Những ưu điểm của kiến trúc PKI phân cấp 36
1.5.1.2 Những khuyết điểm của kiến trúc PKI phân cấp 36
1.5.2. Kiến trúc hệ thống PKI mạng lưới 37
1.5.2.1 Ưu điểm của kiến trúc PKI mạng lưới 38
1.5.2.2 Nhược điểm của mô hình PKI mạng lưới 38
1.5.3. Kiến trúc danh sách tin cậy 38
Trang 41.5.3.2 Nhược điểm của kiến trúc PKI danh sách tin cậy 40
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 42 TÀI LIỆU THAM KHẢO 44
Trang 5THUẬT NGỮ VIẾT TẮT
An toàn an ninh thông tin
(Information Security)
Là các biện pháp tác động lện hệthống thông tin và bản thân thông tin để
đảm bảo thông tin không bị thay đổi,
phá huỷ Đồng thời, kiểm soát đượccác đối tượng truyền và nhận thông tin
Bí mật thông tin
(Confidentiality)
Thông tin không được tiết lộ cho các
đối tượng không được cho phép
CA cấp dưới
(Subordinate CA)
Là những CA mà trong một mô hìnhPKI phân cấp, thẻ xác nhận của nó
CA khác
CA gốc
(Root CA)
Trong một sơ đồ PKI phân cấp, đây
là CA với khoá công khai được tintưởng ở mức độ cao nhất bởi các đốitượng của một domain
Cặp khoá
(Key Pair)
Hai khoá có liên quan đến nhau về mặttoán học với hai thuộc tính: (i) Mộtkhoá có thể được dùng để mã hoá vàviệc giải mã chỉ được thực hiện khi cókhoá còn lại (ii) Khi biết một trong haikhoá thì việc tính toán để tìm ra khoácòn lại là không thể thực hiện được
Trang 6(Certìicate Policy) giao tác điện tử được thực hiện trong
quá trình quản lý thẻ xác nhận Chínhsách này đáp ứng tất cả các yêu cầu củaquá trình tạo, phân phát, thống kê, phụchồi và quản trị các thẻ xác nhận số.Chữ ký số
(Digital Signature)
Là kết quả của phép chuyển đổi mộtthông điệp bằng một hệ thống cácphép mã hoá có sử dụng các khoá màmột đối tượng nhận được thông tin cóthể xác định được: (i) Dữ liệu được gửi
đến có phải được tạo ra với khoá riêngứng với khoá công khai trong thẻ xác
nhận của đối tượng gửi hay không.(ii) Thông tin nhận được có bị thay đổisau khi phép chuyển đổi được thựchiện không Thông tin bị coi là đã thay
đổi nếu ta không thể kiểm chứng được
chữ ký số với khoá công khai tương
ứng của đối tượng đã tạo chữ ký số
Danh sách tin cậy
(Trust List)
Tập hợp các thẻ xác nhận đã được một
đối tượng sử dụng tin cậy và dùng để
xác thực những thẻ xác nhận khác.Danh sách thẻ xác nhận bị huỷ bỏ
(Certificate Revocation List - CRL)
Một danh sách do CA quản lý baogồm các thẻ xác nhận bị huỷ bỏ trướckhi chúng hết hạn
Dữ liệu chưa mã hóa
Trang 7Định danh đối tượng
(Object Identifier – OID)
Là một só có định dạng riêng và đã
được đăng ký với một tổ chức được
công nhận trên phạm vi quốc tế
Đối tượng quản lý đăng ký
(Registration Authority - RA)
Là đối tượng có vai trò phân biệt vàxác thực các đối tượng của thẻ xácnhận nhưng không ký và cấp các thẻxác nhận
Đối tượng quản lý xác nhận
(Certification Authority – CA)
Là đối tượng được tin cậy bởi mộtnhóm người sử dụng nhất định vớichức năng phát hành và quản lý cácthẻ xác nhận và danh sách thẻ xác nhận
bị huỷ bỏ
Hạ tầng khoá công khai
(Public Key Infrastructure - PKI)
Một tập các chính sách, các tiến trình
xử lý, các máy chủ dịch vụ, các máytrạm cùng với các phần mềm được
sử dụng để quản lý các thẻ xác nhậncùng với các cặp khoá công khai/khoáriêng Trong đó, các tính năng chínhbao gồm việc phát hành, duy trì và huỷ
bỏ các thẻ xác nhận chứa khoá côngkhai
Kênh truyền thông riêng
(Out-of-band)
Quá trình truyền thông giữa các đốitượng thông qua các phương tiện khácvới các phương tiện được sử dụng đểduy trì liên lạc thông thường giữa các
đối tượng trong hệ thống
Khoá công khai
(Public Key)
(i) Khoá thuộc về một cặp khoá tạochữ ký số được sử dụng để kiểm chứng
Trang 8cặp khoá mã hóa được sử dụng để mãhóa thông tin bí mật Trong cả haitrường hợp, khoá này thường được phổbiến với các thẻ xác nhận.
Khoá riêng
(Private Key)
(i) Khoá thuộc về một cặp khóa được
sử dụng để tạo chữ ký số (ii) Khoáthuộc về một cặp khoá mã hóa được
sử dụng để giải mã các thông tin bímật Trong cả hai trường hợp, khoánày phải được giữ bí mật
Không thể bác bỏ
(Non-repudiation)
Tính năng này đề cập tới việc: nếumột đối tượng có thể kiểm chứng mộtchữ ký số bằng một khoá công khainào đó thì điều đó chứng tỏ đối tượng
đang nắm giữ khoá riêng tương ứng đã
Mã hoá dữ liệu
(Encode)
Quá trình đóng gói thông tin thành cáckhuôn dạng phù hợp để truyền thônghoặc lưu trữ
điệp dựa trên các hàm phân tách Mã
này được sử dụng để giúp đối tượngnhận có thể đảm bảo mình nhận được
đúng thông tin mình cần
Trang 9(Repository) dữ liệu chứa thông tin về thẻ xác nhận
và danh sách thẻ xác nhận bị huỷ bỏ.Tấn công phát lại gói tin
(Replay Attack)
Là hình thức tấn công dựa trên việc bắtgói tin truyền đến, thực hiện các chỉnhsửa theo ý muốn và phát đi trong cácthời điểm sau này tới các đối tượngnhận
Tin cậy
(Trust)
Là việc chấp nhận một hành động hoặcmột thể hiện của đối tượng nào đó là
Thẻ xác nhận
(Certificate)
Là hình thức biểu diễn thông tin dướidạng số với các thông tin tối thiểu sau:(i) CA phát hành thẻ này (ii) Địnhdanh của đối tượng sử dụng (iii)Khoá công khai của đối tượng sửdụng (iv) Thời gian hiệu lực của thẻ.Thẻ này phải được ký bởi CA tạo ra nó.Thẻ xác nhận ngang hàng
(Cross-Certificate)
Là thẻ xác nhận được dùng để thiết lậpmối quan hệ tin cậy giữa các CA.Trao đổi khoá
(Key Exchange)
Là quá trình trao đổi các khoá để cóthể thiết lập một kênh liên lạc an toàn.Xác thực
(Authenticate)
Khẳng định những thông tin về địnhdanh của một đối tượng khi đối tượng
đó trình diện
Trang 10ĐẶT VẤN ĐỀ
Kể từ khi ra đời gần ba mươi năm trước đây, phương thức mã hoá bảomật với khoá công khai đã tạo nên một hướng phát triển mới cho các dịch vụ antoàn và an ninh thông tin Tư tưởng cốt lõi của phương thức mã hoá bảo mậtvới khoá công khai là việc sử dụng cặp khoá công khai và khoá riêng Mỗi đốitượng truyền thông đều có một cặp khoá công khai và khoá riêng Khoá côngkhai của một đối tượng được thông báo cho tất cả các đối tượng tham giatruyền thông, còn khoá riêng chỉ do đối tượng đó nắm giữ
Đối tượng truyền sẽ mã hoá thông tin cần truyền với khoá công khai của đốitượng nhận Sau đó, thông tin đã mã hoá sẽ được truyền đến cho đối tượng nhận
Sau khi nhận được thông tin truyền đến, đối tượng nhận sẽ giải mã thông tintruyền đến với khoá riêng của mình
Khi các dịch vụ an toàn sử dụng khoá công khai được phát triển rộng rãi thìviệc quản lý đối tượng cùng với khoá công khai trở nên phức tạp và phải đốimặt với nhiều vấn đề về an toàn và an ninh thông tin Mặt khác, do phạm vi
ứng dụng của các thông tin về khoá công khai là rất rộng lớn (có thể là trong
phạm vi quốc gia hoặc xuyên quốc gia) nên phải có được sự thống nhất về cáckhoá công khai để đảm bảo các đối tượng có thể tham gia truyền thông ở nhiềuphạm vi khác nhau với nhiều dịch vụ an toàn và an ninh khác nhau
Trong những năm gần đây, một hướng giải quyết đã được nghiên cứu và triển
khai, đó là Hạ Tầng Khoá Công Khai (Public Key Infrastructure - PKI) PKI là
dịch vụ ở mức nền, nó đảm bảo về việc tạo lập, quản lý và phân phát các khoácông khai của những đối tượng tham gia vào các dịch vụ an toàn, an ninh (dựatrên phương thức mã hoá với khoá công khai) thông qua các thẻ xác nhận PKI
có thể được triển khai trên nhiều phạm vi khác nhau; do vậy, nó có thể giảiquyết những khó khăn mà các ứng dụng an toàn an ninh gặp phải khi phải triểnkhai trên phạm vi rộng và đối tượng sử dụng đa dạng
Việc nghiên cứu và triển khai hệ thống PKI trong phạm vi một doanh nghiệp hay
ở tầm cỡ một quốc gia đều đòi hỏi phải có những nghiên cứu kỹ lưỡng và một tầm
Trang 11nhìn chiến lược Theo nhiều ý kiến nhận định, PKI có tiềm năng phát triển và
ứng dụng rất lớn Nó sẽ được ứng dụng rộng rãi trong các việc đảm bảo an
toàn và an ninh cho các hệ thống thông tin, trong thương mại điện tử, trong cáckênh liên lạc an toàn Nói chung, PKI là cần thiết cho hầu hết các ứng dụng sửdụng phương thức mã hoá bảo mật với khoá công khai
Với mục tiêu tìm hiểu và nghiên cứu những đặc trưng và các hoạt động cơ bảncủa hệ thống PKI, trong phạm vi đồ án này, ta sẽ tìm hiểu những khái niệm cơbản, những cấu trúc dữ liệu đặc trưng, những mô hình hoạt động và nhữngchức năng cơ bản của hệ thống Trên cơ sở kết quả nghiên cứu, ta sẽ triển khaimột hệ thống PKI đơn giản nhằm minh hoạ quá trình hoạt động của hệ thốngtrong thực tế Đây cũng là cách để ta hiểu sâu hơn về hệ thống PKI, về những yêucầu của quá trình triển khai hệ thống và những lợi ích mà hệ thống này có thểmang lại
Trang 121.1 Giới thiệu PKI
Thành phần cốt lõi của hệ thống PKI là các thẻ xác nhận Mỗi thẻ xác nhận có haithành phần thông tin cơ bản là định danh và khoá công khai của đối tượng sử dụng.Các thẻ xác nhận này do đối tượng quản lý thẻ xác nhận tạo ra và ký với phươngthức chữ ký số Trong một số hệ thống, đối tượng quản lý đăng ký được tách riêng
ra khỏi CA Đối tượng này không tạo ra các thẻ xác nhận Nó có nhiệm vụ xác minh
đối tượng truyền thông cho một CA sẽ cấp phát thẻ xác nhận cho đối tượng đó
Nghĩa là, quá trình xác thực khi một đối tượng yêu cầu một thẻ xác nhận của CA sẽ
do RA đảm nhận
Đúng như tên gọi của nó, PKI là một dịch vụ nền cho các dịch vụ an toàn an ninh
dựa trên các thẻ xác nhận Trong các hệ thống này, PKI đảm nhận vai trò tạo lập,quản lý và phân phát các thẻ xác nhận cho các đối tượng truyền thông Nói tóm lại,tất cả các chức năng quản lý của hệ thống PKI đều hướng tới một yêu cầuduy nhất: Quản lý các đối tượng sử dụng trong hệ thống với khoá công khai của
các đối tượng đó
1.1.1 Các yêu cầu cơ bản trong bảo mật an toàn thông tin
An toàn an ninh thông tin bao hàm nhiều vấn đề khác nhau, trong đó, nếu nói đếncác biện pháp an toàn an ninh có sử dụng các phương pháp mã hoá (với khoá côngkhai), ta có thể kể đến 4 yêu cầu cơ bản sau đây:
Toàn vẹn dữ liệu: Toàn vẹn dữ liệu đảm bảo cho thông tin không bị thay đổi
bởi những đối tượng không được cấp thẩm quyền
Không thể bác bỏ: Các đối tượng không thể bác bỏ những hành động mà
mình đã thực hiện
Xác thực đối tượng: Khả năng xác thực đối tượng cho các đối tượng truyền
tin biết chắc mình đang giao tiếp với đối tượng nào
Bí mật thông tin: Bí mật thông tin là yêu cầu trong việc đảm bảo rằng nếu A
muốn truyền thông tin cho B thì chỉ có B có thể đọc được thông tin này
Trang 131.1.2 Khả năng đáp ứng của các dịch vụ sử dụng PKI
Trong phần này, ta sẽ lấy những ví dụ để minh hoạ khả năng đảm bảo cácyêu cầu về an toàn an ninh mà các dịch vụ sử dụng PKI (thực chất là các dịch vụ sửdụng phương thức mã hoá với khoá công khai) có thể đáp ứng Để tiện minh hoạ, talấy phương thức chữ ký số để mô tả trong các ví dụ dưới đây Chữ ký số là mộttrong số những dịch vụ tiêu biểu nhất dựa trên phương thức mã hoá với khoácông khai Trong quá trình hoạt động, phương thức này được kết hợp chặt chẽvới hệ thống PKI Đối với khả năng bảo vệ tính toàn vẹn dữ liệu, khi một thông điệp
đã được mã hoá (tạo chữ ký số cho thông điệp), mọi thay đổi đối với chữ ký sốđược tạo ra đều làm cho nó không thể được kiểm chứng bởi đối tượng nhận Do
vậy, nếu đối tượng nhận không thể kiểm chứng được chữ ký số tạo bởi đối tượngtruyền thì chứng tỏ thông tin truyền đi đã bị thay đổi hoặc có sai sót
Với vấn đề đảm bảo tính không thể bác bỏ, khi một đối tượng muốn tạo chữ
ký số cho một thông điệp, do chỉ đối tượng đó biết được khoá riêng của mìnhnên nếu ta có thể kiểm chứng được một chữ ký số với khoá công khai của đối
tượng nào đó thì chứng tỏ đối tượng đó đã tạo ra chữ ký số với khoá riêng tươngứng Nghĩa là, tính không thể bác bỏ gắn các đối tượng với những hành động mà đốitượng đó đã thực hiện
Với yêu cầu xác thực đối tượng, khi một đối tượng A muốn xác thực địnhdanh của đối tượng B, nó gửi một thông điệp với một số thông tin nhất định dướidạng mã xác thực đến cho B B tạo chữ ký số đối với thông điệp nhận được bằngkhoá riêng của mình và truyền lại cho A A thực hiện kiểm chứng ký số của
B trên thông điệp vừa nhận được bằng khoá công khai của B Nếu thông thôngđiệp được kiểm chứng thì A biết chắc mình đang liên lạc với B
Với việc đảm bảo tính bí mật của thông tin, khi A muốn trao đổi thông tinvới B, A mã hoá thông tin cần truyền với khoá công khai của B rồi truyền cho B.Chỉ B biết khoá riêng của mình nên chỉ có B mới có thể giải mã và đọc được thông
Trang 141.1.3 Các dịch vụ bảo mật an toàn thông tin dựa trên hệ thống PKI
Trong sơ đồ dưới đây ta có thể có một cái nhìn khái quát về các dịch vụ an
toàn an ninh sử dụng các thẻ xác nhận trên cơ sở PKI
Hình 1.1 Các ứng dụng dựa trên hệ thống PKI 1.2 Các thành phần cơ bản của hệ thống PKI
Dưới góc độ các hoạt động quản lý hệ thống PKI, những đối tượng tham gia
vào hệ thống PKI bao gồm: các đối tượng sử dụng (EE), các đối tượng quản lý thẻxác nhận (CA) và các đối tượng quản lý đăng ký (RA) và các hệ thống lưu trữ
1.2.1 Chủ thể và các đối tượng sử dụng
Khái niệm chủ thể được sử dụng để chỉ đối tượng được ghi tên trong trườngsubject của một thẻ xác nhận Tuy nhiên, để tránh nhầm lẫn chủ thể với tên một
trường của thẻ xác nhận, ta nên dùng cụm từ đối tượng sử dụng Ta cần lưu ý: Một
chủ thể có thể là một CA hoặc một EE, đây là do đặc tính của quá trình cấp phát thẻxác nhận Thẻ xác nhận có thể được cấp cho CA hoặc EE Tuy nhiên, ta chỉ gọi các
EE là đối tượng sử dụng vì chỉ những thẻ cấp cho đối tượng loại này mới được sử
dụng trực tiếp trong các dịch vụ an toàn an ninh Thẻ xác nhận cấp cho các CA chủyếu được dùng để hình thành mối tin cậy giữa chúng
Có một điều quan trọng mà ta cần lưu ý là khái niệm đối tượng sử dụngkhông chỉ bao hàm những người sử dụng các dịch vụ mà còn là chính bản thân cácdịch vụ đó Đây là một điều hiển nhiên bởi vì các trình ứng dụng an toàn an ninh
được đề cập đến ở đây là những dịch vụ dựa trên thẻ xác nhận Điều này sẽ ảnh
Trang 15hưởng đến những giao thức mà các hoạt động của hệ thống PKI sử dụng Ví dụ, một
phần mềm ứng dụng có thể biết chắc những trường mở rộng nào của một thẻ xácnhận là cần thiết trong khi một người sử dụng phần mềm đó thì lại hầu như khôngbiết về những thông tin này Trong một số trường hợp cho phép, ta có thể coi
các đối tượng sử dụng là những đối tượng không thuộc loại các đối tượng
quản lý hệ thống PKI
Tất cả các đối tượng sử dụng ít nhất phải có khả năng quản lý và truy cậpmột cách an toàn đến các thông tin sau:
Tên của chính đối tượng đó
Khoá riêng của đối tượng đó
Tên của CA được chính đối tượng này tin tưởng (trusted CA)
Khoá công khai của CA này
Trong quá trình triển khai, các đối tượng sử dụng những phương tiện lưu trữ
an toàn để lưu các thông tin ngoài những thông tin tối thiểu kể trên (thẻ xác nhận
của đối tượng, các thông tin cho các dịch vụ cụ thể) Việc lưu trữ thông tin dướihình thức như trên được gọi là môi trường an toàn cá nhân
1.2.2 Nhà cung cấp chứng thực số CA (Certificate Authority)
Trong các hệ thống quản lý chứng chỉ số đang hoạt động trên thế giới, Nhàcung cấp chứng thực số (Certificate Authority - CA) là một tổ chức chuyên đưa ra
và quản lý các nội dung xác thực bảo mật trên một mạng máy tính, cùng các khoácông khai (public key infrastructure - PKI), một CA sẽ kiểm soát cùng với một nhàquản lý đăng ký (Registration authority - RA) để xác minh thông tin về một chứngchỉ số mà người yêu cầu xác thực đưa ra Nếu RA xác nhận thông tin của người cầnxác thực, CA sau đó sẽ đưa ra một chứng chỉ
Tuỳ thuộc vào việc triển khai cơ sở hạ tầng khoá công khai, chứng chỉ số sẽbao gồm khoá công khai của người sở hữu, thời hạn hết hiệu lực của chứng chỉ, tên
Trang 161.2.3 Đối tượng quản lý đăng ký chứng thực số
Một nhà quản lý đăng ký (Registration Authority - RA) là một cơ quan thẩmtra trên một mạng máy tính, xác minh các yêu cầu của người dùng muốn xác thựcmột chứng chỉ số, và yêu cầu CA đưa ra kết quả RA là một phần trong cơ sở hạtầng khoá công khai PKI, một hệ thống cho phép các công ty và người dùng trao đổicác thông tin và hoạt động tài chính một cách an toàn bảo mật
1.2.4 Chứng chỉ số(Certificate)
Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân,một máy chủ, một công ty…trên Internet Giống như bằng lái xe, hộ chiếu, chứng
minh thư hay những giấy tờ nhận diện cá nhân thông thường khác, chứng chỉ số
cung cấp bằng chứng cho sự nhận diện của một đối tượng
Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp Chứng chỉ số
cũng vậy, phải do một tổ chức đứng ra chứng nhận những thông tin của bạn là chính
xác, được gọi là Nhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA)
CA phải đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số
mà mình cấp
Trong chứng chỉ số có ba thành phần chính:
Thông tin cá nhân của người được cấp
Khoá công khai (Public key) của người được cấp
Chữ ký số của CA cấp chứng chỉ
Thời gian hợp lệ
1.2.5 Cơ quan tạo dấu thời gian (TSA)
Một dấu thời gian đáng tin cậy là dấu thời gian được phát hành bởi một bênthứ ba đáng tin hoạt động như một cơ quan tạo dấu thời gian (TSA) Nó được sửdụng để chứng minh sự tồn tại của một dữ liệu nhất định trước một điểm nhất định(ví dụ như hợp đồng, dữ liệu nghiên cứu, hồ sơ y tế , ) mà chủ sở hữu của nókhông thể thay đổi để dấu thời gian lùi lại được
Trang 17Kỹ thuật này được dựa trên chữ ký số và hàm băm Trước tiên, một hàm băm sẽ
được tính toán từ dữ liệu và được gửi đến TSA TSA sẽ ghép một dấu thời gian vàohàm băm đó và tính toán hàm băm của sự ghép nối này Sau đó hàm băm này sẽđược ký kỹ thuật số với khoá riêng của TSA Hàm đã ký đó cùng dấu thời gian sẽđược gửi trở lại cho người yêu cầu dấu thời gian để lưu trữ chúng các dữ liệu banđầu
Hình 1.2: Cơ quan tạo dấu TSA 1.3 Các hoạt động cơ bản trong hệ thống PKI
1.3.1 Mô hình tổng quát của hệ thống PKI
Trong sơ đồ dưới đây là các đối tượng của hệ thống PKI và mối quan hệ giữachúng trên cơ sở các hoạt động quản lý PKI Mối liên hệ được thể hiện bằng cácthông điệp được truyền đi giữa các đối tượng trong hệ thống
Trang 18Hình 1.3 Các đối tượng và hoạt động cơ bản trong hệ thống PKI
1.3.2 Thiết lập chứng chỉ số
Các thẻ xác nhận được tạo ra trên cơ sở một số thông tin cơ bản (đối tượng
phát hành, đối tượng sử dụng, thuật toán tạo chữ ký số, thời hạn lưu hành …) và
một số thông tin mở rộng Song song với quá trình tạo ra một thẻ xác nhận mới, tacũng cần tiến hành một số bước phụ trợ Ta có thể kể đến việc tạo lập hoặc cập nhậtdanh sách các thẻ bị huỷ bỏ, việc đăng tải thông tin về khoá công khai của CA, lưuthẻ xác nhận vừa tạo được
1.3.3 Khởi tạo các EE
Quá trình này đòi hỏi một số bước cơ bản như sau: Trước tiên, đối tượng nàyphải thu thập được thông tin về khoá công khai của CA gốc Điều này giúpcho các thông điệp được truyền đi giữa đối tượng đó và CA gốc được đảmbảo an toàn và cũng là một phương thức để xác thực EE Sau đó, EE phải thuthập thông tin về các tuỳ chọn được hỗ trợ bởi đối tượng quản lý PKI Điều này rất
Trang 19quan trọng vì nó ảnh hưởng đến giao thức hoạt động và các thông điệp mà EEtruyền đi hay nhận về.
1.3.4 Các hoạt động liên quan đến giấy chứng nhận
Có nhiều hoạt động liên quan tới thẻ xác nhận, các hoạt động đó được phân thành:
Trong quá trình này, trước tiên, EE phải thông báo cho CA hoặc RA biết về sự hiệndiện của mình trong hệ thống Đối tượng được thông báo có quyền ưu tiên cao hơn
là CA sẽ cấp phát cho EE này một thẻ xác nhận khi nó chấp nhận yêu cầu Kết quảcủa quá trình này là một CA sẽ tạo ra một thẻ xác nhận cho EE ứng với khoá côngkhai mà EE này cung cấp khi đăng ký Đồng thời, CA này cũng gửi thẻ xác nhận
này đến cho hệ thống lưu trữ Trong một hệ PKI lớn, hệ thống lưu trữ có vai trò
quan trọng và có tính độc lập cao đối với CA
Nếu xét một cách chi tiết, giai đoạn này gồm nhiều bước nhỏ hơn Có thể, nó sẽ baogồm cả công đoạn khởi tạo các công cụ của EE Ví dụ, để có thể được sử dụng trong
công đoạn kiểm chứng đường dẫn đến các thẻ xác nhận, các công cụ của EE phảiđược khởi tạo một cách an toàn với khoá công khai của một CA nào đó Ngoài ra,
một EE còn cần phải được khởi tạo với cặp khoá của chính nó
Mỗi đối tượng tham gia vào hệ thống PKI đều phải có một cặp khoá gồm khoá côngkhai và khoá riêng Tất cả các cặp khoá này cần phải được cập nhật một cáchthườngxuyên vì các cặp khoá này có thể được thay bằng cặp khoá mới Việc thay đổi thôngtin của các cặp khoá này có thể là do chúng đã hết hạn sử dụng hoặc đã bị lộ
Như vậy, để đảm bảo tất cả các đối tượng có liên quan nắm được thông tin mới nhất
về cặp khoá của mình, đối tượng sở hữu cặp khoá phải tạo các thông điệp cậpnhật cặp khoá để gửi đến cho các đối tượng có liên quan
Trang 20Mỗi thẻ xác nhận được cấp phát cho các đối tượng sử dụng chỉ có tác dụng trongmột khoảng thời gian đã định Khi các thẻ xác nhận này hết hạn và đối tượng sửdụng muốn tiếp tục có được thẻ xác nhận của mình thì CA quản lý đối tượng ấy sẽtạo ra một thẻ xác nhận mới cho đối tượng và phải làm nhiệm vụ cập nhật thông tin
về thẻ xác nhận này Trong trường hợp không có sự thay đổi nào về các tham số
môi trường của hệ thống PKI, các CA có thể chỉ cần “làm tươi” các thẻ xác nhận
này
Cũng giống như đối với các EE, cặp khoá của CA cũng cần được cập nhật thườngxuyên Tuy nhiên, do vai trò và các mối liên hệ của CA trong hệ thống có nhiềukhác biệt và phức tạp hơn nên ta cần phải có những cơ chế thích hợp để thực hiệncông việc này Ví dụ, CA phải gửi được thông tin về cặp khoá công khai của mìnhtới tất cả các EE mà nó quản lý theo kiểu multicast Ngoài ra, nó còn phải gửi thông
tin này đến các CA khác có liên quan
Khi diễn ra quá trình trao đổi thông tin giữa các CA ngang hàng, một CA có thể sẽyêu cầu CA còn lại gửi cho mình một thẻ xác nhận ngang hàng Thẻ xác nhận nganghàng này về bản chất cũng giống với các thẻ xác nhận dành cho các EE Trườngsubject của thẻ xác nhận ngang hàng dùng để chỉ CA được cấp thẻ còn trường issuer
được dùng để chỉ CA cấp phát thẻ
Trong các loại thẻ xác nhận ngang hàng, ta phân ra làm hai loại như sau: Nếu hai
CA thuộc về vùng quản lý khác nhau, ta có thẻ xác nhận ngang hàng liên miền Nếuhai CA thuộc cùng một vùng quản lý thì ta gọi đó là thẻ xác nhận ngang hàng nộimiền
Đối với các thẻ xác nhận ngang hàng, ta có một số chú ý sau:
Trang 21 Trong nhiều hệ thống PKI, nếu không có những định nghĩa chi tiết hơn, các
thẻ xác nhận ngang hàng thường được hiểu là thẻ xác nhận ngang hàng liênmiền
Việc phát hành các thẻ xác nhận ngang hàng không nhất thiết phải được tiến
hành ở cả hai CA Nghĩa là có cả trường hợp một CA được xác nhận bởi một
CA khác mà không có theo chiều ngược lại
Việc cập nhật thẻ xác nhận ngang hàng cũng giống với việc cập nhật thẻ xác nhận
cho các đối tượng sử dụng Tuy nhiên, các đối tượng có liên quan đến quá trình này
chỉ là các CA
1.3.5 Phát hành thể và danh sách các thẻ bị huỷ bỏ
Có những hoạt động của hệ thống quản lý PKI sẽ dẫn đến việc tạo ra các thẻxác nhận hoặc danh sách các thẻ xác nhận bị huỷ bỏ Ta có hai hoạt động tiểu biểuthuộc loại này là: phát hành thẻ xác nhận và phát hành danh sách thẻ xác nhận bịhuỷ bỏ
Khi CA phát hành một thẻ xác nhận, trước tiên, nó cần phải dựa trên định dạng củathẻ xác nhận cần cấp Sau khi có được các thông tin về chính sách quản trị, CA sẽ tổchức chúng theo định dạng đã biết, khi đó, thẻ xác nhận đã hoàn thiện Tuy nhiên,việc phát hành thẻ xác nhận chỉ hoàn tất sau khi CA gửi thông tin về thẻ xácnhận này đến đối tượng sử dụng và lưu thẻ này vào hệ thống lưu trữ
Việc phát hành danh sách thẻ xác nhận bị huỷ bỏ cũng được tiến hành như vớidanh sách thẻ xác nhận Tuy nhiên, thông tin về danh sách này chỉ được truyền cho
hệ thống lưu trữ
1.3.6. Các hoạt động phục hồi
Các hoạt động phục hồi được thực hiện khi các đối tượng sử dụng đánh mất
thông tin mà nó lưu trữ Ví dụ, như đã nêu ở phần trên, các đối tượng sử
Trang 22dụng có thể có một số phương tiện lưu trữ an toàn cá nhân; khi phương tiện lưutrữ này bị hỏng thì nó cần phải nhờ đến CA để phục hồi các thông tin bị mất.
Việc phục hồi thông tin chủ yếu được tập trung vào việc phục hồi các cặp khoá Đốivới các CA và RA, việc lưu trữ thông tin backup về khoá của các đối tượng làkhông bắt buộc Khi các đối tượng sử dụng cần phục hồi các cặp khoá của mình, tacần phải có thêm một số giao thức chuyển đổi để hỗ trợ việc phục hồi khoá
1.3.7 Các hoạt động huỷ bỏ
Có một số hoạt động quản lý hệ thống PKI dẫn đến việc tạo một danh sáchthẻ xác nhận sẽ được huỷ bỏ hoặc bổ sung những thẻ cần được huỷ bỏ vào danhsách này Ví dụ, một đối tượng đã được phân quyền trong hệ thống có thể thông báocho CA về một trạng thái không bình thường và cần phải có một số yêu cầu huỷ bỏthẻ xác nhận Cụ thể, nếu ta phát hiện được một đối tượng đã đăng ký để lấy thẻ xácnhận có những biểu hiện không bình thường hoặc những thông tin do đối tượng này
có một số bất hợp lý thì ta có thể báo cho CA biết và huỷ bỏ thẻ xác nhận đã cấp
cho đối tượng sử dụng đó
Đối với tất cả các hoạt động đã nêu trên, ta có một số lưu ý sau: Các giao thức làm
việc theo chế độ on-line không phải là giải pháp duy nhất để thực hiện các hoạt
động trên Đối với tất cả các giao thức hoạt động theo chế độ on-line, ta đều có mộtphương thức hoạt động theo chế độ off-line cho kết quả tương đương
1.4 Cấu trúc của các thông điệp PKI
Tất cả các quá trình trao đổi thông tin giữa các đối tượng trong hệ thống PKI đều
được thực hiện thông qua việc trao đổi các thông điệp được định nghĩa riêng cho hệ
thống Các thông điệp này được tạo ra trên cơ sở các chức hoạt động cơ bản của hệthống PKI đã được nêu trong phần trước Sau đây ta sẽ tìm hiểu chi tiết về các thông
điệp được sử dụng trong hệ thống PKI
1.4.1 Giới thiệu về nguyên tắc giải mã
