Hạ tầng cơ sở khóa công khai

Trong giải pháp chữ ký số, hạ tầng cơ sở khóa công khai (Public Key Infrastructure – PKI) là hệ thống vừa mang tính tiêu chuẩn, vừa mang tính công nghệ cho phép người dùng trong một mạng công cộng không bảo mật (như Internet), có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng một cặp khóa bí mật và công khai được chứng nhận bởi một nhà cung cấp chứng nhận số CA được tín nhiệm. Mời các bạn tham khảo nội dung chi tiết.
Nội dung trích xuất từ tài liệu:
Hạ tầng cơ sở khóa công khai K y u công trình khoa h c 2015 – Ph n I HẠ TẦNG CƠ SỞ KHÓA CÔNG KHAI Trần Tuấn Toàn Khoa Toán Tin - Đại học Thăng Long Email: toan.trantuan@gmail.com Tóm tắt: Trong giải pháp chữ ký số, hạ tầng cơ sở khóa công khai (Public Key Infrastructure – PKI) là hệ thống vừa mang tính tiêu chuẩn, vừa mang tính công nghệ cho phép người dùng trong một mạng công cộng không bảo mật (như Internet), có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng một cặp khóa bí mật và công khai được chứng nhận bởi một nhà cung cấp chứng nhận số CA được tín nhiệm. Theo X.509 PKIX15 định nghĩa, một PKI là một tập các phần cứng, phần mềm, con người và các thủ tục cần thiết để tạo, lưu trữ, phân phối, thu hồi khóa/chứng nhận dựa trên mã hóa bất đối xứng. Từ khóa: hạ tầng cơ sở khóa công khai, PKI, chứng nhận số, chứng thư số, chữ ký số. 1. Giới thiệu chung về hạ tầng cơ sở khóa công khai Một PKI (Public Key Infrastructure) cho phép người sử dụng của một mạng công cộng không bảo mật, chẳng hạn như Internet, có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng một cặp mã khóa công khai/khóa cá nhân được cấp phát và sử dụng thông qua một nhà cung cấp chứng thực được tín nhiệm (CA - Certificate Authority). Nền tảng khóa công khai cung cấp một chứng chỉ số, dùng để xác minh một cá nhân hoặc một tổ chức, và các dịch vụ danh mục có thể lưu trữ và khi cần có thể thu hồi các chứng chỉ số. 1.1. Vai trò và chức năng PKI cho phép những người tham gia xác thực lẫn nhau. Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối liên hệ giữa khóa và định danh người dùng. Nhờ vậy người dùng có thể sử dụng trong một số ứng dụng như: - Mã hóa, giải mã văn bản; - Xác thực người dùng ứng dụng; - Mã hóa email hoặc xác thực người gửi email; - Tạo chữ ký số trên văn bản điện tử. Một PKI phải đảm bảo được các tính chất sau trong một hệ thống trao đổi thông tin: - Tính bí mật (Confidentiality):PKI phải đảm bảo tính bí mật của dữ liệu. Tính bí mật này được cung cấp bởi các thủ tục mã hóa mật mã học, bằng cách sử dụng cả mã hóa bất đối xứng lẫn mã hóa đối xứng. Do mã hóa bất đối xứng không hiệu quả bằng mã hóa đối xứng trong việc mã hóa dữ liệu lớn, nó thường được sử dụng để mã hóa những đối tượng dữ liệu tương đối nhỏ như các khóa bí mật được sử dụng trong các hệ thống mã hóa bất đối xứng. - Tính toàn vẹn (Integrity): PKI phải đảm bảo dữ liệu không thể bị mất mát hoặc chỉnh sửa và các giao tác không thể bị thay đổi. Tính toàn vẹn có thể được cung cấp bên trong PKI bằng cách sử dụng cả mã hóa bất đối xứng và mã hóa đối xứng. Mã hóa bất đối xứng đặc biệt được sử dụng chung với một thuật toán băm như nhómSHA (SHA-256) để cung cấp tính toàn vẹn. Một PKI được thiết kế tốt sẽ sử dụng các thủ tục đòi hỏi sử dụng các thuật toán đó để cung cấp cơ chế toàn vẹn hiệu quả. - Tính xác thực (Authentication): PKI phải đảm bảo danh tính của thực thể được xác minh. Tính xác thực trong môi trường thương mại điện tử được thực hiện rất tốt bằng các hệ Trư ng Đ i h c Thăng Long 123 K y u công trình khoa h c 2015 – Ph n I thống mã hóa bất đối xứng, dựa trên mối quan hệ toán học giữa khóa công khai và khóa bí mật. Thông điệp được ký bởi một thực thể có thể được kiểm tra bởi bất kỳ thực thể nào quan tâm. Các thực thể này có thể an tâm rằng chỉ có chủ của khóa bí mật mới có thể tạo ra thông điệp này, bởi vì chỉ có người đó mới có khóa bí mật. - Tính không thể chối từ (Non-Repudiation):PKI phải đảm bảodữ liệu không thể bị không thừa nhận hoặc giao tác bị từ chối. Đây là một dịch vụ bảo mật then chốt của bất kỳ ứng dụng thương mại nào trong đó việc trao đổi giá trị hay các quy định pháp luật được thỏa hiệp. Tính không thể chối từ được cung cấp thông qua mã hóa bất đối xứngbằng chữ ký số. Khi dữ liệu được ký theo cách mật mã học sử dụng khóa bí mật của cặp khóa, bất kỳ ai có thể truy cập khóa công khai của cặp khóa này đều có thể xác định rằng chỉ có chủ của cặp khóa mới có thể ký vào dữ liệu. 1.2. Các thành phần của một hạ tầng cơ sở khóa công khai PKI là một cơ cấu tổ chức gồm con người, tiến trình, chính sách, thủ tục, phần cứng và phần mềm dùng để phát sinh, quản lý, lưu trữ, triển khai và thu hồi các chứng nhận khóa công khai. Hình 1. Các thành phần của một hạ tầng cơ sở khóa công khai Về cơ bản, PKI gồm các thành phần chính sau: - Thực thể cuối (End Entity – EE): + Đối tượng sử dụng chứng nhận (chứng thư số): có thể là một tổ chức, một người cụ thể hay một dịch vụ trên máy chủ,… - Tổ chức chứng nhận (Certificate Authority – CA): + Có nhiệm vụ phát hành, quản lý và hủy bỏ các chứng thư số + Là thực thể quan trọng trong một PKI mà được thực thể cuối tín + Gồm tập hợp các con người và các hệ thống máy tính có độ an toàn cao - Chứng nhận khóa công khai (Public Key Certificate): + Một chứng nhận khóa công khai thể hiện hay chứng nhận sự ràng buộc của danh tính và khóa công khai của thực thể cuối; + Chứng nhận khóa công khaichứa đủ thông tin cho những thực thể khác có thể xác nhận hoặc kiểm tra danh tính của chủ nhận chứng nhận đó; + Định dạng được sử dụng rộng rãi nhất của chứng nhận số dựa trên chuẩn IETF X.509. - Tổ chức đăng ký chứng nhận (Registration Authority – RA): + Được ủy quyền và có quyền thực hiện các công việc mà CA cho phép + Tiếp nhận thông tin đăng ký chứng nhận; Trư ng Đ i h c Thăng Long 124 K y u công trình khoa h c 2015 – Ph n I + Gắn kết giữa khóa công khai và định danh của người giữ chứng nhận - Kho lưu trữ chứng nhận (Certificate Repository – CR): + Hệ thống (có thể tập trung hoặc phân tán) lưu trữ chứng thư và danh sách các chứng thư bị thu hồi; + Cung cấp cơ chế phân phối chứng thư và danh sách thu hồi chứng thư (CRLs Certificate Revocatio Lists) 1.3. Các mô hìnhcủa hạ tầng cơ sở khóa công khai Ngày nay, PKI được triển khai bởi nhiều tổ chức như là công cụ để bảo vệ những tài nguyên tập thể nhạy cảm. Tuy nhiên, với những nhu cầu, quy trình và sự phức tạp khác nhau trong mỗi công việc, chỉ một mô hình được chuẩn hóa cho PKI hoàn toàn khô ...