Chương II: Tổng quan về hạ tầng khóa công khai – PKI

Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai và khóa bí

mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và

các phần mềm phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường

được phân phối trong chứng thực khóa công khai.

Khái niệm hạ tầng khóa công khai (PKI) thường được dùng để chỉ toàn bộ hệ

thống bao gồm nhà cung cấp chứng thực số (Certificate Authority) cùng các cơ chế liên

quan đồng thời với toàn bộ việc sử dụng các thuật toán mã hóa khóa công khai trong

trao đổi thông tin.

PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa mang tính

ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử (digital

certificate) cũng như các mã khoá công cộng và cá nhân.

Tới nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy. Và để

hiện thực hoá ý tưởng này, các tiêu chuẩn cần phải được nghiên cứu phát triển ở các

mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác thực, cấp phép và

quản lý. Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets

Layer/Transport Layer Security (SSL/TLS) và Virtual Private Network (VPN), chính là

kết quả của sáng kiến PKI.

Quá trình nghiên cứu và phát triển PKI là một quá trình lâu dài và cùng với nó,

mức độ chấp nhận của người dùng cũng tăng lên một cách khá chậm chạp. PKI có thể

đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản trí tuệ cả trong

và ngoài phạm vi công ty. Tuy nhiên, chi phí và/hoặc sự phức tạp của nó có thể gây ra

những rào cản nhất định đối với khả năng ứng dụng.

Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng, chính

quyền và các đối tác khác đều được diễn ra một cách điện tử. Ngày nay, một giải pháp

an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy. Từ góc độ giải pháp

công nghệ, điều này làm cho việc chọn lựa trở nên đơn giản hơn. Nhiều hãng khác cũng

cung cấp các giải pháp PKI. Những tính năng này, cùng khả năng quản lý và liên kết

PKI, đã được tích hợp vào hệ điều hành và các ứng dụng có liên quan.

PKI là công nghệ xác thực đầu tiên và hoàn thiện nhất sử dụng phương pháp mã

hoá dựa trên khoá bí mật và khoá công cộng. Tuy nhiên, PKI cũng bao gồm cả việc ứng

dụng rộng rãi các dịch vụ bảo mật khác, bao gồm dịch vụ dữ liệu tin cậy, thống nhất dữ

liệu về tổng thể và quản lý mã khoá.



Nhóm nghiên cứu khoa học



9



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



2. Các khái niệm trong PKI

2.1 Chứng chỉ

Chứng chỉ là một tài liệu sử dụng chữ ký số kết hợp với khóa công khai với một

định danh thực thể (cá nhân, tổ chức, máy chủ, dịch vụ, … )

Chứng chỉ không chứa bất kỳ một thông tin bí mật nào. Về cơ bản, chứng chỉ

chứa những thông tin cần thiết như khóa công khai, chủ thể (người sở hữu), bên cấp

chứng chỉ và một số thông tin khác. Tính hợp lệ của các thông tin được đảm bảo bằng

chữ ký số của bên cấp chứng chỉ. Người dùng muốn sử dụng chứng chỉ trước hết sẽ

kiểm tra chữ ký số trong chứng chỉ. Nếu chữ ký đó hợp lệ thì có thể sử dụng chứng chỉ

đó.

Có nhiều lọai chứng chỉ, một trong số đó là:

• Chứng chỉ khóa công khai X.509

• Chứng chỉ khóa công khai đơn giản (Simple Public Key Certificate – SPKC)

• Chứng chỉ PGP

• Chứng chỉ thuộc tính (Attribute Certificate – AC)

Tất cả các loại chứng chỉ này đều có cấu trúc dạng riêng biệt. Hiện nay chứng chỉ

khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệ thống PKI. Chứng

chỉ X.509 được Hiệp hội viễn thông quốc tế (ITU) đưa ra lần đầu tiên năm 1998. Chứng

chỉ này gồm 2 phần: phần đầu là những trường cơ bản cần thiết phải có trong chứng chỉ,

phần thứ hai là phần chứa một số các trường phụ, hay còn gọi là trường mở rộng. Các

trường mở rộng thường được dùng để xác định và đáp ứng những yêu cầu bổ sung của

hệ thống.

Cấu trúc chứng chỉ X.509

• Version : phiên bản của chứng chỉ

• Serial Number: số serial của chứng chỉ,

là định danh duy nhất của chứng chỉ, có

giá trị nguyên.

• Certificate Signature Algorithm: thuật

toán CA sử dụng để ký chứng chỉ

• Issuer: Tên chủ thể phát hành chứng chỉ

• Validity: Thời hạn của chứng chỉ

• Subject: Tên chủ thể của chứng chỉ

• Subject Public Key Info

◦ Subject Public Key Algorithm: Thuật

Nhóm nghiên cứu khoa học



10



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

toán sinh khóa công khai

◦ Subject's Public Key: Khóa công khai

• Extensions: Phần mở rộng.

2.2 Kho chứng chỉ

Chứng chỉ được cấp bởi CA kết hợp với khóa công khai với nhận dạng của thực

thể B. Tuy nhiên nếu thực thể A không có khả năng xác định vị trí chứng chỉ này một

cách dễ dàng thì anh ta cũng không có hiệu quả gì hơn so với việc chứng chỉ này chưa

được tạo ra.

Do đó, phải có một kho chứng chỉ trực tuyến (online repositories), quy mô lớn và

mềm dẻo và phải được đặt ở vị trí mà A có thể xác định vị trí chứng chỉ mà anh ta cần để

truyền thông an toàn.

2.3 Thu hồi chứng chỉ

Trong một số trường hợp như khóa bị xâm hại, hoặc người sở hữu chứng chỉ thay

đổi vị trí, cơ quan … thì chứng chỉ đã được cấp không có hiệu lực. Do đó, cần phải có

một cơ chế cho phép người sử dụng chứng chỉ kiểm tra được trạng thái thu hồi chứng

chỉ. X.509 cho phép kiểm tra chứng chỉ trong các trường hợp sau:

• Chứng chỉ không bị thu hồi

• Chứng chỉ đã bị CA cấp thu hồi

• Chứng chỉ do một tổ chức có thẩm quyền mà CA ủy thác có trách nhiệm thu

hồi chứng chỉ.

2.4 Công bố và gửi thông báo thu hồi chứng chỉ

Danh sách huỷ bỏ chứng thực điện tử bao gồm các chứng thực đã hết hạn hoặc đã

bị thu hồi. Tất cả các xác thực đều có thời hạn. Đây là một quy định mang tính thiết kế,

tuy nhiên trước đây, rất khó thực hiện quy định này bởi việc gia hạn chứng thực thường

phải được thông báo tới tất cả người dùng sử dụng chứng thực đó. Tính năng này bảo

đảm rằng các chứng thực hết hạn sẽ được gia hạn tự động khi đến thời hạn.

Với một số lý do nhất định cần thiết phải huỷ bỏ chứng thực chứ không chỉ đơn

thuần là làm cho nó hết hạn. Công việc này có thể được thực hiện thông qua cơ chế danh

sách huỷ bỏ chứng thực tự động. Các chủ thể có thẩm quyền cấp phép chứng thực (CA)

thông thường sẽ làm công việc gửi các danh sách này tới người dùng, tuy nhiên họ cũng

có thể uỷ nhiệm cho một bộ phận khác.

Thông thường chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhưng

trong một số trường hợp chứng chỉ lại không hợp lệ trước thời gian hết hạn, ví dụ như:

Nhóm nghiên cứu khoa học



11



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

• Khóa riêng của chủ thể bị xâm phạm

• Thông tin chứa trong chứng chỉ bị thay đổi

• Khóa riêng của CA cấp chứng chỉ bị xâm phạm

Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử

dụng khác Một trong những phương pháp để thông báo đến người sử dụng về trạng thái

của chứng chỉ là công bố CRLs định kỳ hoặc khi cần thiết. Ngoài ra, có một số cách lựa

chọn khác để thông báo đến người sử dụng như dùng phương pháp trực tuyến Online

Certificate Status Protocol

CRLs (Certificate Revocation Lists) là cấu trúc dữ liệu được ký như chứng chỉ

người sử dụng. CRLs chứa danh sách các chứng chỉ đã bị thu hồi và những thông tin cần

thiết khác của người

sử dụng. CRL thường do một CA cấp. Tuy nhiên CRL cũng có thể được sử dụng để cung

cấp thông tin cho nhiều CA nếu nó được định nghĩa như một CRL gián tiếp.

2.5 Sao lưu và dự phòng khóa

Trong bất kỳ một môi trương PKI đang hoạt động, khả năng làm mất hoặc sai các

mã khoá riêng của người dùng là rất lớn, do đó cần phải có một cơ chế lưu trữ dự phòng

và khôi phục mã khoá. Không có khoá riêng, việc khôi phục tài liệu là không thể được

xét trên thực tế. Nguyên nhân có thể là do:

• Quên mật khẩu: Khoá bí mật của người dùng vẫn còn về mặt vật lý nhưng

không thể truy cập được.

• Phương tiện bị hỏng hóc: Ví dụ như đĩa cứng bị hỏng hoặc thẻ thông minh bị

gãy.

• Sự thay thế của phương tiện: Hệ điều hành được tải lại (ghi đè lên các giấy tờ

uỷ nhiệm cục bộ) hoặc một mô hình máy tính cũ hơn được thay thế bằng một

mô hình máy tính mới hơn và các giấy tờ uỷ nhiệm không được chuyển trước

khi đĩa cũ bị format.

Giải pháp đưa ra là thực hiện việc sao lưu và dự phòng khóa bí mật. Việc sao lưu

và dự phòng khóa mà cần thiết, nó tạo nên một phần mở rộng trong định nghĩa PKI

2.6 Cập nhật khóa tự động

Một chứng chỉ có thời gian sống hữu hạn. Khi chứng chỉ bị hết hạn sẽ được thay

thế bằng một chứng chỉ mới. Thủ tục này được gọi là cập nhật khoá hay cập nhật chứng

chỉ. Vấn đề đặt ra là người dùng PKI sẽ thường cảm thấy bất tiện khi phải cập nhật khoá

thủ công và thông thường thì họ sẽ không nhớ thời hạn hết hạn của chứng chỉ hoặc khi

thực hiện cập nhật khoá khi đã hết hạn thường gặp phải nhiều thủ tục phức tạp hơn.

Giải pháp đưa ra là xây dựng PKI theo cách mà toàn bộ khoá hoặc chứng chỉ sẽ

Nhóm nghiên cứu khoa học



12



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

được cập nhật hoàn toàn tự động mà không cần có sự can thiệp nào của người dùng. Mỗi

khi chứng chỉ của người sử dụng được dùng đến cho một mục đích bất kỳ, thời gian hợp

lệ của nó sẽ được kiểm tra. Khi sắp hết hạn thì hoạt động làm mới chứng chỉ sẽ diễn ra,

chứng chỉ mới sẽ được tạo ra thay thế chứng chỉ cũ và giao dịch của được yêu cầu của

người dùng sẽ tiếp tục diễn ra.

Bởi vì quá trình cập nhật khoá tự động là nhân tố sống còn đối với PKI hoạt động

trong nhiều môi trường, do đó, nó tạo nên một phần định nghĩa của PKI.

2.7 Lịch sử khóa

Trong suốt quá trình sử dụng PKI, một người dùng có thể có nhiều chứng chỉ cũ

và có ít nhất một chứng chỉ hiện tại. Tập hợp các chứng chỉ này với các khoá bí mật

tương ứng được gọi là lịch sử khoá (key history) hay còn gọi là lịch sử khoá và chứng

chỉ.

Cũng giống như sự cập nhật khoá, quản lý lịch sử khoá phải được thực hiện và

duy trì tự động trong PKI. PKI cần phải nắm giữ được tất cả các khoá trong lịch sử, thực

hiện sao lưu và dự phòng tại vị trí thích hợp.

2.8 Chứng thực chéo

Trong môi trường thực tế, không phải chỉ có một PKI toàn cục duy nhất hoạt động

mà thực tế có rất nhiều PKI được triển khai, hoạt động, phục vụ trong các môi trường và

cộng đồng người dùng khác nhau. Khi các PKI hoạt động phối hợp, liên kết với nhau, sẽ

nảy sinh vấn đề là làm thế nào để đảm bảo an toàn truyền thông giữa các cộng đồng

người dùng trong các PKI?

Khái niệm chứng thực chéo đã nảy sinh trong môi trường PKI để giải quyết nhu

cầu này nhằm tạo ra mối quan hệ tin tưởng giữa các PKI không có quan hệ với nhau

trước đó. Chứng thực chéo là cơ chế cho phép người dùng của một cộng đồng PKI này

xác nhận tính hợp lệ chứng chỉ của người dùng khác trong một cộng đồng PKI khác.

2.9 Hỗ trợ chống chối bỏ

Trong môi trường hoạt động của PKI, mỗi hành động của người dùng luôn gắn

với định danh của họ. Nếu một người dùng ký số văn bản của mình, thì có nghĩa người

dùng đó khẳng định rằng văn bản đó xuất phát từ phía mình.

PKI cần phải đảm bảo rằng người dùng đó không thể chối bỏ trách nhiệm mà

mình đã thực hiện. Cơ chế này được gọi là cơ chế hỗ trợ chống chối bỏ. Để thực hiện

được cơ chế hỗ trợ chống chối bỏ, PKI cần phải cung cấp một vài các bằng chứng kỹ

thuật được yêu cầu, như là xác thực nguồn gốc dữ liệu và chứng thực thời gian mà dữ

liệu được ký.

Nhóm nghiên cứu khoa học



13



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

2.10 Tem thời gian

Một nhân tố quan trọng trong việc hỗ trợ các dịch vụ chống chối bỏ là sử dụng

tem thời gian an toàn (secure time stamping) trong PKI. Nghĩa là nguồn thời gian phải

được tin cậy và giá trị thời gian phải được truyền đi một cách an toàn. Do đó cần phải có

một nguồn thời gian có thể tin tưởng được cho tất cả người dùng trong PKI.

2.11 Phần mềm phía người dùng

Trong mô hình PKI, các server sẽ thực hiện những nhiệm vụ sau:

• CA cung cấp các dịch vụ chứng chỉ

• Kho chứng chỉ sẽ lưu giữ các thông tin chứng chỉ và hủy bỏ chứng chỉ

• Máy chủ sao lưu và dự phòng sẽ quản lý lịch sử khóa một cách phù hợp

• Máy chủ tem thời gian sẽ kết hợp các thông tin thời gian có thể tin tưởng được

với các tài liệu văn bản

Server không thể thực hiện bất kỳ điều gì cho các máy khách nếu như máy khách

không đưa ra các yêu cầu dịch vụ. Do đó nhiệm vụ của máy khách sẽ là

• Máy khách đưa ra yêu cầu các dịch vụ chứng thực

• Máy khách yêu cầu chứng chỉ và xử lý các thông tin hủy bỏ chứng chỉ có liên

quan

• Máy khách phải biết lịch sử khóa và phải biết khi nào cần yêu cầu cập nhật

khóa hoặc hủy bỏ khóa

• Máy khách phải biết khi nào nó cần phải yêu cầu tem thời gian trên văn bản

Phần mềm phía client là một thành phần thiết yếu của PKI tích hợp đầy đủ tính

năng trên.

2.12 Chính sách của chứng chỉ

Chính sách có định danh duy nhất và định danh này được đăng ký để người cấp và

người sử dụng chứng chỉ có thể nhận ra và tham chiếu đến. Một chứng chỉ có thể được

cấp theo nhiều chính sách. Một chính sách chứng chỉ cũng có thể được hiểu là việc giải

thích những yêu cầu và giới hạn liên quan đến việc sử dụng chứng chỉ được công bố

theo những chính sách này.

Chính sách chứng chỉ - Certificate Policies (CP) được chứa trong trường mở rộng

chuẩn của chứng chỉ X.509. Bằng việc kiểm tra trường này trong chứng chỉ, hệ thống sử

dụng chứng chỉ có thể xác định được một chứng chỉ cụ thể có thích hợp cho mục đích sử

dụng hay không.



Nhóm nghiên cứu khoa học



14



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



3. Các thành phần của một hệ thống PKI

Một hệ thống PKI gồm các thành phần sau

• Certificate Authorites (CA): cấp và thu hồi chứng chỉ.

• Registration Authorites (RA): gắn kết giữa khóa công khai và định danh của

người giữ chứng chỉ

• Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng chỉ PKI.

• Repositories: Hệ thống lưu trữ chứng chỉ và danh sách các chứng chỉ bị thu

hồi. Cung cấp cơ chế phân phối chứng chỉ và CRLs đến các thực thể cuối.

Các thành phần PKI và các mối quan hệ giữa chúng được chỉ ra như trong hình

sau. Đây là mô hình kiến trúc PKI do PKIX đưa ra



Hình 3: Các thành phần PKI

3.1 Tổ chức chứng thực (Certification Authority)

Trong hạ tầng cơ sở khoá công khai, chứng chỉ có vai trò gắn kết giữa định danh

với khoá công. Sự gắn kết này thể hiện trong dạng cấu trúc dữ liệu được ký số được đề

cập đến như chứng chỉ đã được thảo luận ở phần trước. Một certificate authority (CA) là

một thực thể PKI có trách nhiệm cấp chứng chỉ cho các thực thể khác trong hệ thống.

Tổ chức chứng thực - CA cũng được gọi là bên thứ ba được tin tưởng vì người sử

Nhóm nghiên cứu khoa học



15



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

dụng cuối tin tưởng vào chữ ký số của CA trên chứng chỉ trong khi thực hiện những hoạt

động mã hoá khoá công khai cần thiết CA thực hiện chức năng xác thực bằng cách cấp

chứng chỉ cho các CA khác và cho thực thể cuối (người giữ chứng chỉ) trong hệ thống.

Nếu CA nằm ở đỉnh của mô hình phân cấp PKI và chỉ cấp chứng chỉ cho những CA ở

mức thấp hơn thì chứng chỉ này được gọi là chứng chỉ gốc “root certificate”.

3.2 Trung tâm đăng ký (Registration Authorites)

Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi khi

cần có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là “registration

authority” - trung tâm đăng ký. Ví dụ khi số lượng thực thể cuối trong miền PKI tăng lên

và số thực thể cuối này được phân tán khắp nơi về mặt địa lý thì việc đăng ký tại một

CA trung tâm trở thành vấn đề khó giải quyết. Để giải quyết vấn đề này cần thiết phải có

một hoặc nhiều RAs (trung tâm đăng ký địa phương).

Mục đích chính của RA là để giảm tải công việc của CA. Chức năng thực hiện của

một RA cụ thể sẽ khác nhau tuỳ theo nhu cầu triển khai PKI nhưng chủ yếu bao gồm

những chức năng sau:

• Xác thực cá nhân, chủ thể đăng ký chứng chỉ

• Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp.

• Xác nhận quyền của chủ thể đối với những thuộc tính chứng chỉ được yêu cầu.

• Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký hay

không - điều này thường được đề cập đến như sự chứng minh sở hữu (proof of

possesion – POP).

• Tạo cặp khóa bí mật, công khai

• Phân phối bí mật được chia sử đến thực thể cuối (ví dụ: khóa công khai của

CA)

• Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA

• Lưu trữ khóa riêng

• Khởi sinh quá trình khôi phục khóa

• Phân phối thẻ bài vật lý (thẻ thông minh)

3.3 Thực thể cuối (end entity)

Thực thể cuối trong PKI có thể là con người, thiết bị, và thậm chí là một chương

trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối sẽ thực hiện

những chức năng mật mã (mã hoá, giải mã và ký số).

3.4 Hệ thống lưu trữ (Repositories)

Chứng chỉ (khoá công khai) và thông tin thu hồi chứng chỉ phải được phân phối

Nhóm nghiên cứu khoa học



16



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

sao cho những người cần đến chứng chỉ đều có thể truy cập và lấy được. Có 2 phương

pháp phân phối chứng chỉ:

• Phân phối cá nhân: Đây là cách phân phối cơ bản nhất. Trong phương pháp

này thì mỗi cá nhân sẽ trực tiếp đưa chứng chỉ của họ cho người dùng khác.

Việc này có thể thực hiện theo một số cơ chế khác nhau. Chuyển giao bằng tay

chứng chỉ được lưu trong đĩa mềm hay trong một số các môi trường lưu trữ

khác. Cũng có thể phân phối bằng cách gắn chứng chỉ trong email để gửi cho

người khác. Cách này thực hiện tốt trong một nhóm ít người dùng nhưng khi

số lượng người dùng tăng lên thì có thể xảy ra vấn đề về quản lý

• Phân phối công khai: Một phương pháp khác phổ biến hơn để phân phối

chứng chỉ (và thông tin thu hồi chứng chỉ) là công bố các chứng chỉ rộng rãi,

các chứng chỉ này có thể sử dụng một cách công khai và được đặt ở vị trí có

thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu. Dưới đây là ví

dụ về một số hệ thống lưu trữ:

◦ X.500 Directory System Agents (DSAs).

◦ Lightweight Directory Access Protocol (LDAP ) Server

◦ Online Certificate Status Protocol (OCSP) Responders

◦ Domain name System (DNS) và Web servers

◦ File Transfer Protocol (FTP) Servers và Corporate Databases



4. Chức năng cơ bản PKI.

Những hệ thống cho phép PKI có những chức năng khác nhau. Nhưng nhìn chung

có hai chức năng chính là: chứng thực và thẩm tra.

4.1 Chứng thực (certification)

Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đây là quá trình ràng

buộc khoá công khai với định danh của thực thể. CA là thực thể PKI thực hiện chức

năng chứng thực. Có hai phương pháp chứng thực:

• Tổ chức chứng thực (CA) tạo ra cặp khoá công khai, khoá bí mật và tạo ra

chứng chỉ cho phần khoá công của cặp khoá.

• Người sử dụng tự tạo cặp khoá và đưa khoá công cho CA để CA tạo chứng chỉ

cho khoá công đó. Chứng chỉ đảm bảo tính toàn vẹn của khoá công khai và các

thông tin gắn cùng.

4.2 Thẩm tra (validation)

Quá trình xác định liệu chứng chỉ đã đưa ra có thể được sử dụng đúng mục đích

thích hợp hay không được xem như là quá trình kiểm tra tính hiệu lực của chứng chỉ.

Nhóm nghiên cứu khoa học



17



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.

Quá trình này bao gồm một số bước sau:

• Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lên chứng chỉ hay

không (xử lý theo đường dẫn chứng chỉ).

• Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.

• Xác định xem chứng chỉ còn ở trong thời gian có hiệu lực hay không.

• Xác định xem chứng chỉ đã bị thu hồi hay chưa.

• Xác định xem chứng chỉ đang được sử dụng có đúng mục đích, chính sách, giới hạn hay

không (bằng cách kiểm tra những trường mở rộng cụ thể như mở rộng chính sách chứng chỉ

hay mở rộng việc sử dụng khoá).



4.3 Một số chức năng khác

Hệ thống PKI thực hiện chức năng chứng thực, thẩm tra cùng với một số chức

năng phụ trợ khác. Dưới đây là một số chức năng và dịch vụ được hầu hết các hệ thống

PKI cung cấp. Một số những chức năng khác có thể được định nghĩa tuỳ theo yêu cầu cụ

thể của các hệ thống PKI.

• Đăng ký: Là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy để

đăng ký các thông tin và xin cấp chứng chỉ. RA và CA là những thực thể trong

quá trình đăng ký. Quá trình đăng ký phụ thuộc vào chính sách của tổ chức. Nếu

chứng chỉ được cung cấp với mục đích dùng cho những hoạt động bí mật thì sử

dụng phương pháp gặp mặt trực tiếp. Nếu chứng chỉ chỉ được sử dụng cho những

mục đích, hoạt động thường thì có thể đăng ký qua những ứng dụng viết sẵn hoặc

ứng dụng điện tử.

• Khởi tạo ban đầu: Khi hệ thống trạm của chủ thể nhận được các thông tin cần

thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu. Những thông tin này có thể

là khoá công của CA, chứng chỉ của CA, cặp khóa công /bí mật của chủ thể. Một

số hệ thống khác sử dụng cơ chế dựa trên password trong giai đoạn khởi tạo.

Người dùng cuối liên lạc với CA khi nhận được password và sau đó thiết lập một

kênh bảo mật để truyền những thông tin cần thiết. Giai đoạn khởi tạo thường tiếp

tục với quá trình chứng thực.

• Khôi phục cặp khóa: Hầu hết hệ thống PKI tạo ra hai cặp khoá cho người sử

dụng cuối, một để ký số và một để mã hoá. Lý do để tạo hai cặp khoá khác nhau

xuất phát từ yêu cầu khôi phục và sao lưu dự phòng khoá. Tuỳ theo chính sách

của tổ chức, bộ khoá mã (mã và giải mã) và những thông tin liên quan đến khoá

của người sử dụng phải được sao lưu để có thể lấy lại được dữ liệu khi người sử

dụng mất khoá riêng hay rời khỏi đơn vị. Còn khoá để ký số được sử dụng tuỳ

theo mục đích cá nhân nên không được sao lưu. Riêng khoá bí mật của CA thì

được lưu giữ dự phòng trong một thời gian dài để giải quyết những vấn đề nhầm

Nhóm nghiên cứu khoa học



18



Học viện Kỹ Thuật Mật Mã



Nghiên cứu, xây dựng hạ tầng khóa công khai PKI dựa trên OpenCA.



•



•



•



•



•



•



lẫn có thể xảy ra trong tương lai. Hệ thống PKI có những công cụ để thực hiện

chức năng sao lưu và khôi phục khoá.

Tạo khóa: Cặp khoá công khai/bí mật có thể được tạo ở nhiều nơi. Chúng có thể

được tạo ra bằng phần mềm phía client và được gửi đến CA để chứng thực. CA

cũng có thể tạo ra cặp khoá trước khi chứng thực. Trong trường hợp này, CA tự

tạo cặp khoá và gửi khoá bí mật này cho người sử dụng theo một cách an toàn.

Nếu khoá do bên thứ ba tạo ra thì những khoá này phải được CA tin cậy trong

miền xác nhận trước khi sử dụng.

Hạn sử dụng và cập nhật khóa: Một trong những thuộc tính của chứng chỉ là

thời gian hiệu lực. Thời gian hiệu lực của mỗi cặp khoá được xác định theo chính

sách sử dụng. Các cặp khoá của người sử dụng nên được cập nhật khi có thông

báo về ngày hết hạn. Hệ thống sẽ thông báo về tình huống này trong một thời gian

nhất định. Chứng chỉ mới sẽ được người cấp công bố tự động sau thời gian hết

hạn.

Xâm hại khóa: Đây là trường hợp không bình thường nhưng nếu xảy ra thì khoá

mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ nhận thấy điều

này. Xâm hại đến khoá của CA là một trường hợp đặc biệt. Và trong trường hợp

này thì CA sẽ công bố lại tất cả các chứng chỉ với CA-certificate mới của mình

Thu hồi: Chứng chỉ được công bố sẽ được sử dụng trong khoảng thời gian có

hiệu lực Nhưng trong trường hợp khoá bị xâm hại hay có sự thay đổi trong thông

tin của chứng chỉ thì chứng chỉ mới sẽ được công bố, chứng chỉ cũ sẽ bị thu hồi.

Công bố và gửi thông báo thu hồi chứng chỉ: Một chứng chỉ được cấp cho

người sử dụng cuối sẽ được gửi đến cho người nắm giữ và hệ thống lưu trữ để có

thể truy cập công khai. Khi một chứng chỉ bị thu hồi vì một lý do nào đó, tất cả

người sử dụng trong hệ thống sẽ được thông báo về việc này. Phương thức để

công bố và gửi những thông báo thu hồi đã được đề cập chi tiết trong nội dung về

chứng chỉ số ở phần trên.

Xác thực chéo: Xác thực chéo là một trong những đặc tính quan trọng nhất của

hệ thống PKI. Chức năng này được sử dụng để nối hai miền PKI khác nhau. Xác

thực chéo là cách để thiết lập môi trường tin cậy giữa hai CA dưới những điều

kiện nhất định. Những điều kiện này được xác định theo yêu cầu của người sử

dụng. Những người sử dụng ở các miền khác nhau chỉ có thể giao tiếp an toàn với

người khác sau khi việc xác thực chéo giữa các CA thành công. Xác thực chéo

được thiết lập bằng cách tạo chứng chỉ CA xác thực lẫn nhau. Nếu CA-1 và CA-2

muốn thiết lập xác thực chéo thì cần thực hiện một số bước sau:

◦ CA-1 công bố CA – certificate cho CA-2.

◦ CA-2 công bố CA – certificate cho CA-1.



Nhóm nghiên cứu khoa học



19



Học viện Kỹ Thuật Mật Mã