CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPEN CA

Ngày nay, Public Key Infrastructures (PKI) – cơ sở hạ tầng khóa công khai được phát triển rộng rãi. Trung tâm tin cậy (Trustcenter) là một bên thứ 3 đáng tin cậy nhằm xác nhận danh tính cụ thể cho các đối tác trong quá trình giao dịch điện tử. Tuy nhiên, để thiết lập được một hệ thống PKI là vô cùng khó khăn và tốn kém bởi trung tâm tin cậy có tính linh hoạt (đặc biệt là cho Unix) rất đắt. Điều đó chính là điểm khởi đầu cho sự ra đời của hệ thống OpenCA. OpenCA là một hệ thống trustcenter mã nguồn mở hỗ trợ cộng đồng với một giải pháp tốt, rẻ tiền và thích ứng với mọi cơ sở hạ tầng.Trên cơ sở những kiến thức được học, nhóm chúng em đã chọn đề tài “Installation and Configuration of OpenCA” để tìm hiểu về hệ thống OpenCA, từ đó triển khai cài đặt và cấu hình một số dịch vụ trên OpenCA. Nội dung báo cáo gồm 4 chương:Chương I. Mật mã khóa công khai và chữ ký số: Tổng quát về thuật toán RSA, thuật toán thỏa thuận khóa Diffie – Hellman và chữ ký số.Chương II. Tổng quan về cơ sở hạ tầng khóa công khai: Giới thiệu tổng quan về PKI và một số khái niệm liên quan trong PKI.Chương III. Tổng quan về hệ thống OpenCA: Sau khi tìm hiểu về PKI, ở chương này sẽ giới thiệu một cách tổng quát về hệ thống OpenCA.Chương IV. Cài đặt và cấu hình hệ thống OpenCA: Nêu lên các bước cụ thể để triển khai cài đặt và cấu hình OpenCA, thiết lập một cơ sở hạ tầng tốt.Trong quá trình thực hiện, do hạn chế về kiến thức nên còn rất nhiều thiếu sót, chúng em rất mong nhận được ý kiến nhận xét của thầy để báo cáo của chúng em được hoàn thiện hơn. Chúng em xin chân thành cảm ơn

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

ĐỀ TÀI BÁO CÁO Môn Chứng thực điện tử

CÀI ĐẶT VÀ CẤU HÌNH HỆ

THỐNG OPENCA

Cán bộ hướng dẫn: Thầy Hoàng Đức Thọ

Nhóm sinh viên thực hiện:

- Ngô Hoàng Hạnh Nhân

- Đinh Thị Thủy Tiên

- Bùi Xuân Tiến

Lớp: AT9A

HÀ NỘI 3/2016

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

ĐỀ TÀI BÁO CÁO Môn Chứng thực điện tử

CÀI ĐẶT VÀ CẤU HÌNH HỆ

THỐNG OPENCA

Nhận xét của cán bộ hướng dẫn:

Điểm chuyên cần:

Điểm báo cáo:

Xác nhận của cán bộ hướng dẫn

MỤC LỤC

MỤC LỤC 1

BẢNG KÝ HIỆU 3

DANH MỤC HÌNH VẼ 4

LỜI NÓI ĐẦU 5

CHƯƠNG I MẬT MÃ KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ 6

1.1 Mật mã khóa công khai 6

1.1.1 Thuật toán RSA 6

1.1.2 Thuật toán thỏa thuận khóa Diffie-Hellman 7

1.2 Chữ ký số 7

CHƯƠNG II TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI 8

2.1 Khái niệm cơ sở hạ tầng khóa công khai 8

2.2 Các khái niệm liên quan trong PKI 10

2.2.1 Chứng chỉ 10

2.2.2 Kho chứng chỉ 11

2.2.3 Thu hồi chứng chỉ 11

2.2.4 Công bố và gửi thông báo thu hồi chứng chỉ 12

2.2.5 Sao lưu và dự phòng khóa 13

2.2.6 Cập nhật khóa tự động 13

2.2.7 Lịch sử khóa 14

2.2.8 Chứng thực chéo 14

2.2.9 Hỗ trợ chống chối bỏ 14

2.2.10 Tem thời gian 15

2.2.11 Phần mềm phía người dùng 15

2.2.12 Chính sách của chứng chỉ 15

2.3 Các thành phần của một hệ thống PKI 16

2.3.1 Tổ chức chứng thực (Certification Authority) 17

2.3.2 Trung tâm đăng ký (Registration Authorites) 17

2.3.3 Thực thể cuối (end entity) 18

2.3.4 Hệ thống lưu trữ (Repositories) 18

2.4 Chức năng cơ bản của PKI 19

2.4.1 Chứng thực (certification) 19

2.4.2 Thẩm tra (validation) 19

2.4.3 Một số chức năng khác 20

2.5 Mục tiêu của PKI 23

CHƯƠNG III TỔNG QUAN VỀ HỆ THỐNG OPENCA 24

3.1 Giới thiệu về OpenCA 24

3.2 Thiết kế chung của OpenCA 25

CHƯƠNG IV CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA 26

4.1 Chuẩn bị 26

4.1.1 Chuẩn bị về phần mềm 26

4.1.2 Chuẩn bị về phần cứng 26

4.2 Cài đặt và cấu hình 26

4.2.1 Khởi tạo CA 26

4.2.2 Khởi tạo chứng chỉ cho người quản trị 30

4.2.3 Khởi tạo RA 33

TÀI LIỆU THAM KHẢO 34

BẢNG KÝ HIỆU

CA Certification Authority

CRL Certificate Revocation List

CRR Certificate Revocation Request

CSR Certificate Signing Request

OCSP Online Certificate Status Protocol

PKI Public Key Infrastructures

PIN Personal Identification Number

SQL Structured Query Language

SSL Secure Sockets Layer

TLS Transport Layer Security

VPN Virtual Private Network

DANH MỤC HÌNH VẼ

Hình 2.1 Các thành phần của một hệ thống PKI 16

Hình 3.1 Logo của OpenCA……… 24

Hình 3.2 Một số module trong hệ thống OpenCA 25

Hình 4.1 Giao diện quản lý và cấu hình RootCA 26

Hình 4.2 Ba bước thiết lập CA 27

Hình 4.3 Khởi tạo cơ sở dữ liệu và khóa cho CA 27

Hình 4.4 Tạo khóa bí mật cho CA 28

Hình 4.5 Khóa bí mật của CA 28

Hình 4.6 Tạo yêu cầu cấp chứng chỉ cho CA 29

Hình 4.7 Nội dung yêu cầu chứng chỉ 29

Hình 4.8 Lựa chọn Self Signed CA để tự chứng thực CA 29

Hình 4.9 Chứng chỉ của CA 30

Hình 4.10 Tạo chứng chỉ cho người quản trị 30

Hình 4.11 Khai báo các thông tin cơ bản 31

Hình 4.12 Khai báo chi tiết chứng chỉ 31

Hình 4.13 Khai báo mã PIN 31

Hình 4.14 Thỏa thuận người dùng 32

Hình 4.15 Tạo yêu cầu 32

Hình 4.16 Ký chứng chỉ 33

Hình 4.17 Download chứng chỉ về máy 33

LỜI NÓI ĐẦU

Ngày nay, Public Key Infrastructures (PKI) – cơ sở hạ tầng khóa công khaiđược phát triển rộng rãi Trung tâm tin cậy (Trustcenter) là một bên thứ 3 đángtin cậy nhằm xác nhận danh tính cụ thể cho các đối tác trong quá trình giao dịchđiện tử Tuy nhiên, để thiết lập được một hệ thống PKI là vô cùng khó khăn vàtốn kém bởi trung tâm tin cậy có tính linh hoạt (đặc biệt là cho Unix) rất đắt.Điều đó chính là điểm khởi đầu cho sự ra đời của hệ thống OpenCA OpenCA làmột hệ thống trustcenter mã nguồn mở hỗ trợ cộng đồng với một giải pháp tốt,

rẻ tiền và thích ứng với mọi cơ sở hạ tầng

Trên cơ sở những kiến thức được học, nhóm chúng em đã chọn đề tài

“Installation and Configuration of OpenCA” để tìm hiểu về hệ thống OpenCA,

từ đó triển khai cài đặt và cấu hình một số dịch vụ trên OpenCA

Nội dung báo cáo gồm 4 chương:

Chương I Mật mã khóa công khai và chữ ký số: Tổng quát về thuật

toán RSA, thuật toán thỏa thuận khóa Diffie – Hellman và chữ ký số

Chương II Tổng quan về cơ sở hạ tầng khóa công khai: Giới thiệu tổng

quan về PKI và một số khái niệm liên quan trong PKI

Chương III Tổng quan về hệ thống OpenCA: Sau khi tìm hiểu về PKI,

ở chương này sẽ giới thiệu một cách tổng quát về hệ thống OpenCA

Chương IV Cài đặt và cấu hình hệ thống OpenCA: Nêu lên các bước cụ

thể để triển khai cài đặt và cấu hình OpenCA, thiết lập một cơ sở hạ tầng tốt

Trong quá trình thực hiện, do hạn chế về kiến thức nên còn rất nhiều thiếusót, chúng em rất mong nhận được ý kiến nhận xét của thầy để báo cáo củachúng em được hoàn thiện hơn

Chúng em xin chân thành cảm ơn !

Hà Nội, tháng 3 năm 2016

Nhóm sinh viên thực hiện báo cáo

CHƯƠNG I MẬT MÃ KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ

1.1 Mật mã khóa công khai

Mật mã khóa công khai là một dạng mật mã cho phép người sử dụng traođổi các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mậttrước đó Điều này được thực hiện bằng cách sử dụng một cặp khóa có quan hệtoán học với nhau là khóa công khai và khóa bí mật

Trong mật mã khóa công khai, khóa cá nhân phải được giữ bí mật trong khikhóa công khai được phổ biến công khai Trong 2 khóa, một khóa dùng để mãhóa và khóa còn lại dùng để giải mã Điều quan trọng đối với hệ thống là khôngthể tìm ra khóa bí mật nếu chỉ biết khóa công khai

Hệ thống mật mã khóa công khai có thể được sử dụng với các mục đích:

• Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải

mã được thông tin đó

• Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo bởimột khóa bí mật nào đó không

• Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mậtgiữa 2 bên

1.1.1 Thuật toán RSA

Trong mật mã học, RSA là một thuật toán mã hóa khóa công khai Đây làthuật toán đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với việc mãhóa Nó đánh dấu một sự tiến bộ vượt bậc của lĩnh vực mật mã trong việc sửdụng khóa công khai RSA đang được sử dụng phổ biến trong thương mại điện

tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ lớn

Thuật toán RSA có hai khóa: khóa công khai và khóa bí mật Mỗi khóa lànhững số cố định sử dụng trong quá trình mã hóa và giải mã Khóa công khaiđược công bố rộng rãi cho mọi người và được dùng để mã hóa Những thông tinđược mã hóa bằng khóa công khai chỉ có thể giải mã bằng khóa bí mật tươngứng Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa

bí mật mới có thể giải mã được

Tuy nhiên RSA có tốc độ thực hiện chậm hơn đáng kể so với DES và cácthuật toán mã hóa đối xứng khác, Trên thực tế, người ta sử dụng một thuật toán

mã hóa đối xứng nào đó để mã hóa văn bản cần gửi và chỉ sử dụng RSA để mãhóa khóa để giải mã

1.1.2 Thuật toán thỏa thuận khóa Diffie-Hellman

Đây là sơ đồ khóa công khai đầu tiên Tuy nhiên, đó không phải là một sơ

đồ mã hóa khóa công khai thực sự, mà chỉ dùng cho trao đổi khóa Các khóa bímật được trao đổi bằng cách sử dụng các trạm trung gian riêng tin cậy Phươngpháp này cho phép các khóa bí mật được truyền an toàn thông qua các môitrường không bảo mật Tính bảo mật của trao đổi khóa Diffie-Hellman nằm ởchỗ: tính hàm mũ modul của một số nguyên tố là khá dễ dàng nhưng tính logaritrời rạc là rất khó

1.2 Chữ ký số

Chữ ký số là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video, … )nhằm mục đích xác định người chủ của dữ liệu đó Để sử dụng chữ ký số thì dữliệu cần phải được mã hóa bằng hàm băm (dữ liệu được "băm" ra thành chuỗi,thường có độ dài cố định và ngắn hơn văn bản) sau đó dùng khóa bí mật củangười chủ khóa để mã hóa, khi đó ta được chữ ký số Khi cần kiểm tra, bên nhậngiải mã (với khóa công khai) để lấy lại chuỗi gốc (được sinh ra qua hàm bămban đầu) và kiểm tra với hàm băm của văn bản nhận được Nếu 2 giá trị (chuỗi)này khớp nhau thì bên nhận có thể tin tưởng rằng dữ liệu xuất phát từ người sởhữu khóa bí mật

Chữ ký số khóa công khai dựa trên nền tảng mật mã khóa công khai Để cóthể trao đổi thông tin trong môi trường này, mỗi người sử dụng có một cặp khóa:khóa công khai và khóa bí mật Khóa công khai được công bố rộng rãi còn khóa

bí mật phải được giữ kín và không thể tìm được khóa bí mật nếu chỉ biết khóacông khai

Toàn bộ quá trình gồm 3 thuật toán:

• Thuật toán tạo khóa

• Thuật toán tạo chữ ký số

• Thuật toán kiểm tra chữ ký số

CHƯƠNG II TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG

KHAI

2.1 Khái niệm cơ sở hạ tầng khóa công khai

Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng được

mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền thông và giaodịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàngdùng email trên các mạng công cộng Hầu hết các thông tin kinh doanh nhạycảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử Sự thay đổitrong các hoạt động truyền thông doanh nghiệp này đồng nghĩa với việc người

sử dụng phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước cácnguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin

đó Cơ sở hạ tầng khóa công khai – Public Key Infrastructures (PKI) cùng cáctiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháptổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này

Khả năng bảo mật (Secure): Đạt tiêu chuẩn quốc tế về bảo mật EAL4+,đáp ứng hầu hết các thiết bị HSM và Smartcard

Khả năng mở rộng (Scalable): Dựa trên kiến trúc PKI hiện đại, được thiết

kế theo mô hình có độ sẵn sàng cao, có khả năng mở rộng để cấp phát sốlượng lớn chứng thư số một cách dễ dàng

Khả năng sẵn sàng (Available): Tất cả chính sách, log, dữ liệu về chứngthư số và CRL được lưu trữ trên cơ sở dữ liệu tin cậy và bảo mật ví dụ:Oracle hệ cơ sở dữ liệu lớn nhất và đáng tin cậy nhất trên thế giới

Khả năng mở, tương thích (Open): Được thiết kế để tuân thủ các tiêuchuẩn mở quốc tế như X509, PKIX, LDAP

Khả năng kiểm soát bằng chính sách (Policy Driven): Hệ thống có khảnăng áp dụng các chính sách khác nhau với việc đăng ký các loại chứngthư số khác nhau

Khả năng linh động (Flexible): Có thể hỗ trợ nhiều phương thức đăng kýchứng thư số khác nhau: Web, Email, Face-to-face, CMP, SCEP

Trong mật mã học, PKI là một cơ chế để cho một bên thứ 3 (thường là nhàcung cấp chứng thư số) cung cấp và xác thực định danh các bên tham gia vàoquá trình trao đổi thông tin Cơ chế này cũng cho phép gán cho mỗi người sửdụng trong hệ thống một cặp khóa công khai và khóa bí mật Các quá trình nàythường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềmphối hợp khác tại các địa điểm của người dùng Khóa công khai thường đượcphân phối trong chứng thực khóa công khai.

Khái niệm cơ sở hạ tầng khóa công khai (PKI) thường được dùng để chỉtoàn bộ hệ thống bao gồm nhà cung cấp chứng thư số (Certificate Authority)cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mãhóa khóa công khai trong trao đổi thông tin

PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừamang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứngthực điện tử (digital certificate) cũng như các mã khoá công cộng và cá nhân.Tới nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy

Và để hiện thực hoá ý tưởng này, các tiêu chuẩn cần phải được nghiên cứu pháttriển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xácthực, cấp phép và quản lý Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạnSecure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual PrivateNetwork (VPN), chính là kết quả của sáng kiến PKI

Quá trình nghiên cứu và phát triển PKI là một quá trình lâu dài và cùng với

nó, mức độ chấp nhận của người dùng cũng tăng lên 1 cách khá chậm chạp PKI

có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sảntrí tuệ cả trong và ngoài phạm vi công ty Tuy nhiên, chi phí và/hoặc sự phức tạpcủa nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng

Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng,chính quyền và các đối tác khác đều được diễn ra một cách điện tử Ngày nay,một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy

Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trở nên đơn giảnhơn Nhiều hãng khác cũng cung cấp các giải pháp PKI Những tính năng này,cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành vàcác ứng dụng có liên quan

PKI là công nghệ xác thực đầu tiên và hoàn thiện nhất sử dụng phươngpháp mã hoá dựa trên khoá bí mật và khoá công cộng Tuy nhiên, PKI cũng baogồm cả việc ứng dụng rộng rãi các dịch vụ bảo mật khác, bao gồm dịch vụ dữliệu tin cậy, thống nhất dữ liệu về tổng thể và quản lý mã khoá.

2.2 Các khái niệm liên quan trong PKI

2.2.1 Chứng chỉ

Chứng chỉ là một tài liệu sử dụng chữ ký số kết hợp với khóa công khai vớimột định danh thực thể (cá nhân, tổ chức, máy chủ, dịch vụ,…) Chứng chỉkhông chứa bất kỳ một thông tin bí mật nào Về cơ bản, chứng chỉ chứa nhữngthông tin cần thiết như khóa công khai, chủ thể (người sở hữu), bên cấp chứngchỉ và một số thông tin khác Tính hợp lệ của các thông tin được đảm bảo bằngchữ ký số của bên cấp chứng chỉ Người dùng muốn sử dụng chứng chỉ trước hết

sẽ kiểm tra chữ ký số trong chứng chỉ Nếu chữ ký đó hợp lệ thì có thể sử dụngchứng chỉ đó

Có nhiều loại chứng chỉ, một trong số đó là:

 Chứng chỉ khóa công khai X.509

Chứng chỉ khóa công khai đơn giản (Simple Public Key Certificate –SPKC)

 Chứng chỉ PGP

 Chứng chỉ thuộc tính (Attribute Certificate – AC)

Tất cả các loại chứng chỉ này đều có cấu trúc dạng riêng biệt Hiện naychứng chỉ khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệthống PKI Chứng chỉ X.509 được Hiệp hội viễn thông quốc tế (ITU) đưa ra lầnđầu tiên năm 1998 Chứng chỉ này gồm 2 phần: phần đầu là những trường cơbản cần thiết phải có trong chứng chỉ, phần thứ hai là phần chứa một số cáctrường phụ, hay còn gọi là trường mở rộng Các trường mở rộng thường đượcdùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống

Cấu trúc chứng chỉ X.509

 Version : phiên bản của chứng chỉ

Serial Number: số serial của chứng chỉ, là định danh duy nhất của chứngchỉ, có giá trị nguyên

Certificate Signature Algorithm: thuật toán CA sử dụng để ký chứng chỉ

Issuer: Tên chủ thể phát hành chứng chỉ

Validity: Thời hạn của chứng chỉ

Subject: Tên chủ thể của chứng chỉ

Subject Public Key Info

Subject Public Key Algorithm: Thuật toán sinh khóa công khai

Subject's Public Key: Khóa công khai

Extensions: Phần mở rộng

2.2.2 Kho chứng chỉ

Chứng chỉ được cấp bởi CA kết hợp với khóa công khai với nhận dạng củathực thể B Tuy nhiên nếu thực thể A không có khả năng xác định vị trí chứngchỉ này một cách dễ dàng thì anh ta cũng không có hiệu quả gì hơn so với việcchứng chỉ này chưa được tạo ra

Do đó, phải có một kho chứng chỉ trực tuyến (online repositories), quy môlớn và mềm dẻo và phải được đặt ở vị trí mà A có thể xác định vị trí chứng chỉ

mà anh ta cần để truyền thông an toàn

 Chứng chỉ không bị thu hồi

 Chứng chỉ đã bị CA cấp thu hồi

 Chứng chỉ do một tổ chức có thẩm quyền mà CA ủy thác có tráchnhiệm thu hồi chứng chỉ

2.2.4 Công bố và gửi thông báo thu hồi chứng chỉ

Danh sách huỷ bỏ chứng thực điện tử bao gồm các chứng thực đã hết hạnhoặc đã bị thu hồi Tất cả các xác thực đều có thời hạn Đây là một quy địnhmang tính thiết kế, tuy nhiên trước đây, rất khó thực hiện quy định này bởi việcgia hạn chứng thực thường phải được thông báo tới tất cả người dùng sử dụngchứng thực đó Tính năng này bảo đảm rằng các chứng thực hết hạn sẽ được giahạn tự động khi đến thời hạn

Với một số lý do nhất định cần thiết phải huỷ bỏ chứng thực chứ không chỉđơn thuần là làm cho nó hết hạn Công việc này có thể được thực hiện thông qua

cơ chế danh sách huỷ bỏ chứng thực tự động Các chủ thể có thẩm quyền cấpphép chứng thực (CA) thông thường sẽ làm công việc gửi các danh sách này tớingười dùng, tuy nhiên họ cũng có thể uỷ nhiệm cho một bộ phận khác

Thông thường chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực.Nhưng trong một số trường hợp chứng chỉ lại không hợp lệ trước thời gian hếthạn, ví dụ như:

 Khóa riêng của chủ thể bị xâm phạm

 Thông tin chứa trong chứng chỉ bị thay đổi

 Khóa riêng của CA cấp chứng chỉ bị xâm phạm

Trong những trường hợp này cần có một cơ chế để thông báo đến nhữngngười sử dụng khác Một trong những phương pháp để thông báo đến người sửdụng về trạng thái của chứng chỉ là công bố CRLs định kỳ hoặc khi cần thiết.Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng nhưdùng phương pháp trực tuyến Online Certificate Status Protocol

CRLs (Certificate Revocation Lists) là cấu trúc dữ liệu được ký như chứngchỉ người sử dụng CRLs chứa danh sách các chứng chỉ đã bị thu hồi và nhữngthông tin cần thiết khác của ngườisử dụng CRL thường do một CA cấp Tuynhiên CRL cũng có thể được sử dụng để cung cấp thông tin cho nhiều CA nếu

nó được định nghĩa như một CRL gián tiếp

2.2.5 Sao lưu và dự phòng khóa

Trong bất kỳ một môi trương PKI đang hoạt động, khả năng làm mất hoặcsai các mã khoá riêng của người dùng là rất lớn, do đó cần phải có một cơ chế

lưu trữ dự phòng và khôi phục mã khoá Không có khoá riêng, việc khôi phụctài liệu là không thể được xét trên thực tế Nguyên nhân có thể là do:

 Quên mật khẩu: Khoá bí mật của người dùng vẫn còn về mặt vật lý nhưngkhông thể truy cập được

 Phương tiện bị hỏng hóc: Ví dụ như đĩa cứng bị hỏng hoặc thẻ thôngminh bị gãy

 Sự thay thế của phương tiện: Hệ điều hành được tải lại (ghi đè lên cácgiấy tờ uỷ nhiệm cục bộ) hoặc một mô hình máy tính cũ hơn được thaythế bằng một mô hình máy tính mới hơn và các giấy tờ uỷ nhiệm khôngđược chuyển trước khi đĩa cũ bị format

Giải pháp đưa ra là thực hiện việc sao lưu và dự phòng khóa bí mật Việcnày là cần thiết, nó tạo nên phần mở rộng trong định nghĩa PKI

2.2.6 Cập nhật khóa tự động

Một chứng chỉ có thời gian sống hữu hạn Khi chứng chỉ bị hết hạn sẽ đượcthay thế bằng một chứng chỉ mới Thủ tục này được gọi là cập nhật khoá haycập nhật chứng chỉ Vấn đề đặt ra là người dùng PKI sẽ thường cảm thấy bấttiện khi phải cập nhật khoá thủ công và thông thường thì họ sẽ không nhớ thờihạn hết hạn của chứng chỉ hoặc khi thực hiện cập nhật khoá khi đã hết hạnthường gặp phải nhiều thủ tục phức tạp hơn

Giải pháp đưa ra là xây dựng PKI theo cách mà toàn bộ khoá hoặc chứngchỉ sẽ được cập nhật hoàn toàn tự động mà không cần có sự can thiệp nào củangười dùng Mỗi khi chứng chỉ của người sử dụng được dùng đến cho một mụcđích bất kỳ, thời gian hợp lệ của nó sẽ được kiểm tra Khi sắp hết hạn thì hoạtđộng làm mới chứng chỉ sẽ diễn ra, chứng chỉ mới sẽ được tạo ra thay thế chứngchỉ cũ và giao dịch của được yêu cầu của người dùng sẽ tiếp tục diễn ra

Bởi vì quá trình cập nhật khoá tự động là nhân tố sống còn đối với PKI hoạtđộng trong nhiều môi trường, do đó, nó tạo nên một phần định nghĩa của PKI

2.2.7 Lịch sử khóa

Trong suốt quá trình sử dụng PKI, một người dùng có thể có nhiều chứngchỉ cũ và có ít nhất một chứng chỉ hiện tại Tập hợp các chứng chỉ này với các

khoá bí mật tương ứng được gọi là lịch sử khoá (key history) hay còn gọi là lịch

sử khoá và chứng chỉ

Cũng giống như sự cập nhật khoá, quản lý lịch sử khoá phải được thực hiện

và duy trì tự động trong PKI PKI cần phải nắm giữ được tất cả các khoá tronglịch sử, thực hiện sao lưu và dự phòng tại vị trí thích hợp

2.2.8 Chứng thực chéo

Trong môi trường thực tế, không phải chỉ có một PKI toàn cục duy nhấthoạt động mà thực tế có rất nhiều PKI được triển khai, hoạt động, phục vụ trongcác môi trường và cộng đồng người dùng khác nhau Khi các PKI hoạt độngphối hợp, liên kết với nhau, sẽ nảy sinh vấn đề là làm thế nào để đảm bảo antoàn truyền thông giữa các cộng đồng người dùng trong các PKI?

Khái niệm chứng thực chéo đã nảy sinh trong môi trường PKI để giải quyếtnhu cầu này nhằm tạo ra mối quan hệ tin tưởng giữa các PKI không có quan hệvới nhau trước đó Chứng thực chéo là cơ chế cho phép người dùng của mộtcộng đồng PKI này xác nhận tính hợp lệ chứng chỉ của người dùng khác trongmột cộng đồng PKI khác

2.2.9 Hỗ trợ chống chối bỏ

Trong môi trường hoạt động của PKI, mỗi hành động của người dùng luôngắn với định danh của họ Nếu một người dùng ký số văn bản của mình, thì cónghĩa người dùng đó khẳng định rằng văn bản đó xuất phát từ phía mình

PKI cần phải đảm bảo rằng người dùng đó không thể chối bỏ trách nhiệm

mà mình đã thực hiện Cơ chế này được gọi là cơ chế hỗ trợ chống chối bỏ Đểthực hiện được cơ chế hỗ trợ chống chối bỏ, PKI cần phải cung cấp một vài cácbằng chứng kỹ thuật được yêu cầu, như là xác thực nguồn gốc dữ liệu và chứngthực thời gian mà dữ liệu được ký

2.2.10 Tem thời gian

Một nhân tố quan trọng trong việc hỗ trợ các dịch vụ chống chối bỏ là sửdụng tem thời gian an toàn (secure time stamping) trong PKI Nghĩa là nguồnthời gian phải được tin cậy và giá trị thời gian phải được truyền đi một cách antoàn Do đó cần phải có một nguồn thời gian có thể tin tưởng được cho tất cảngười dùng trong PKI

2.2.11 Phần mềm phía người dùng

Trong mô hình PKI, các server sẽ thực hiện những nhiệm vụ sau:

 CA cung cấp các dịch vụ chứng chỉ

 Kho chứng chỉ sẽ lưu giữ các thông tin chứng chỉ và hủy bỏ chứng chỉ

 Máy chủ sao lưu và dự phòng sẽ quản lý lịch sử khóa một cách phù hợp

Máy chủ tem thời gian sẽ kết hợp các thông tin thời gian có thể tin tưởngđược với các tài liệu văn bản

Server không thể thực hiện bất kỳ điều gì cho các máy khách nếu như máykhách không đưa ra các yêu cầu dịch vụ Do đó nhiệm vụ của máy khách sẽ là

 Máy khách đưa ra yêu cầu các dịch vụ chứng thực

Máy khách yêu cầu chứng chỉ và xử lý các thông tin hủy bỏ chứng chỉ cóliên quan

Máy khách phải biết lịch sử khóa và phải biết khi nào cần yêu cầu cậpnhật khóa hoặc hủy bỏ khóa

Máy khách phải biết khi nào nó cần phải yêu cầu tem thời gian trên vănbản

Phần mềm phía client là một thành phần thiết yếu của PKI tích hợp đầy đủtính năng trên

2.2.12 Chính sách của chứng chỉ

Chính sách có định danh duy nhất và định danh này được đăng ký để ngườicấp và người sử dụng chứng chỉ có thể nhận ra và tham chiếu đến Một chứngchỉ có thể được cấp theo nhiều chính sách Một chính sách chứng chỉ cũng cóthể được hiểu là việc giải thích những yêu cầu và giới hạn liên quan đến việc sửdụng chứng chỉ được công bố theo những chính sách này

Chính sách chứng chỉ - Certificate Policies (CP) được chứa trong trường

mở rộng chuẩn của chứng chỉ X.509 Bằng việc kiểm tra trường này trongchứng chỉ, hệ thống sử dụng chứng chỉ có thể xác định được một chứng chỉ cụthể có thích hợp cho mục đích sử dụng hay không

2.3 Các thành phần của một hệ thống PKI

Một hệ thống PKI gồm các thành phần sau

 Certificate Authorites (CA): cấp và thu hồi chứng chỉ

Registration Authorites (RA): gắn kết giữa khóa công khai và định danhcủa người giữ chứng chỉ

Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng chỉ PKI

Repositories: Hệ thống lưu trữ chứng chỉ và danh sách các chứng chỉ bịthu hồi Cung cấp cơ chế phân phối chứng chỉ và CRLs đến các thực thểcuối

Các thành phần PKI và các mối quan hệ giữa chúng được chỉ ra như tronghình sau Đây là mô hình kiến trúc PKI do PKIX đưa ra