Bài giảng Quản lý khóa trong mật mã - Phân phối khoá cho mật mã khóa công khai - Nguyễn Hiếu Minh

4. Hạ tầng khóa công khai (PKI) 
 “PKI là tập hợp của các công nghệ mật mã, phần 
 mềm, phần cứng chuyên dụng và các dịch vụ cho 
 phép các tổ chức/doanh nghiệp đảm bảo an toàn 
 thông tin liên lạc, định danh và xác thực được 
 người dùng, khách hàng trên các giao dịch qua 
 mạng/Internet”. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 85 
Các thành phần 
1. Chứng chỉ khóa công khai: họ tên hoặc định 
 danh của người sở hữu thật sự của khóa, khóa 
 công cộng và chữ ký điện tử giúp xác nhận được 
 tính hợp lệ của hai thành phần này. 
2. Hệ thống phân phối khóa tin cậy: sử dụng hệ 
 thống trao đổi thông tin tin cậy để chuyển mã 
 khóa công cộng đến người nhận. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 86 
Các thành phần của một chứng nhận khóa công cộng 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 87 
Mô hình Certification Authority đơn giản 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 88 
4.1. Các loại giấy chứng nhận khóa công cộng 
  Giấy chứng nhận là một tập tin nhị phân có 
 thể dễ dàng chuyển đổi qua mạng máy tính. 
  Tổ chức CA áp dụng chữ ký điện tử của nó 
 cho giấy chứng nhận khóa công cộng mà nó 
 phát hành. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 89 
Chứng nhận X.509 
 Chứng nhận X.509 là chứng nhận khóa công cộng phổ 
 biến nhất. 
 Hiệp hội viễn thông quốc tê (ITU) đã chỉ định chuẩn 
 X.509 vào năm 1988 (phiên bản 1). 
 Phiên bản 2 (1993) của chuẩn X.509 được phát hành 
 với 2 trường tên nhận dạng duy nhất được bổ sung. 
 Phiên bản 3 (1997) của chuẩn X.509 được bổ sung 
 thêm trường mở rộng. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 90 
Phiên bản 3 của chuẩn chứng nhận X.509 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 91 
Mô tả 
 Một chứng nhận khóa công cộng kết buộc một 
 khóa công cộng với sự nhận diện của một người 
 (hoặc một thiết bị). 
 Khóa công cộng và tên thực thể sở hữu khóa này 
 là hai mục quan trọng trong một chứng nhận. 
 Hầu hết các trường khác trong chứng nhận X.509 
 phiên bản 3 đều đã được chứng tỏ là có ích. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 92 
Mô tả một số trường 
 Signature Algorithm: Thuật toán chữ ký chỉ rõ 
 thuật toán mã hóa được CA sử dụng để ký giấy 
 chứng nhận. 
 Subject Name: là một X.500 DN (X.500 
 Distinguised Name – X.500 DN), xác định đối 
 tượng sở hữu giấy chứng nhận mà cũng là sở hữu 
 của khóa công cộng. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 93 
(tiếp) 
 Public key: Xác định thuật toán của khóa công 
 cộng (như RSA) và chứa khóa công cộng được 
 định dạng tuỳ vào kiểu của nó. 
 Extensions: Chứa các thông tin bổ sung cần thiết 
 mà người thao tác CA muốn đặt vào chứng nhận. 
 Trường này được giới thiệu trong X.509 phiên 
 bản 3. 
 Signature: Đây là chữ ký điện tử được tổ chức CA 
 áp dụng. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 94 
Chứng nhận PGP 
 Giấy chứng nhận X.509 được ký bởi tổ chức CA. 
 Trong khi đó, giấy chứng nhận PGP có thể được ký 
 bởi nhiều cá nhân. 
Mô hình tin cậy của giấy chứng nhận PGP đòi hỏi 
 phải tin tưởng vào những người ký giấy chứng 
 nhận PGP muốn dùng chứ không chỉ tin tưởng 
 vào CA phát hành X.509. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 95 
4.2. Sự chứng nhận và kiểm tra chữ ký 
  Quá trình chứng nhận chữ ký diễn ra theo hai bước. 
  Đầu tiên, các trường của chứng nhận được băm bởi 
 thuật toán cho trước. 
  Sau đó, kết quả xuất của hàm băm, được mã hóa với 
 khóa bí mật của tổ chức CA đã phát hành chứng nhận 
 này. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 96 
Quá trình ký chứng nhận 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 97 
Quá trình kiểm tra chứng nhận 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 98 
4.3. Các thành phần của một cở sở hạ tầng khóa công 
cộng 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 99 
Mô hình cơ bản 
 Certification Authority 
 Đơn vị cấp chứng thư 
 (CA) 
 (IA) 
 yêu cầu 
 Đơn vị đăng ký cơ sở dữ liệu 
 (RA) chứng thư số 
 cấp 
 chưng thư số/khóa Xác minh 
 Thông điệp dữ liệu ký số Người nhận/ 
 Thuê bao Người tin tưởng 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 100 
4.3.1. Tổ chức chứng nhận – Certificate Authority (CA) 
 Tổ chức CA là một thực thể quan trọng duy nhất 
 trong X.509 PKI. (Public key Infrastructure). 
 Tổ chức CA có nhiệm vụ phát hành, quản lý và hủy 
 bỏ các giấy chứng nhận. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 101 
Mô tả 
 Để thực hiện nhiệm vụ phát hành giấy chứng 
 nhận của mình, CA nhận yêu cầu chứng nhận từ 
 khách hàng. 
 Sau đó, tổ chức CA tạo ra nội dung chứng nhận 
 mới cho khách hàng và ký nhận cho chứng nhận 
 đó. 
 Nếu CA có sử dụng nơi lưu trữ chứng nhận thì nó 
 sẽ lưu giấy chứng nhận mới được tạo ra này ở đó. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 102 
4.3.2. Tổ chức đăng ký chứng nhận – Registration Authority 
(RA) 
  Một RA là một thực thể tùy chọn được thiết 
 kế để chia sẻ bớt công việc trên CA. 
  Một RA không thể thực hiện bất kỳ một 
 dịch vụ nào mà tổ chức CA của nó không 
 thực hiện được. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 103 
Mô tả 
 Các nhiệm vụ chính của RA có thể được chia 
 thành các loại: 
  Các dịch vụ chứng nhận. 
  Các dịch vụ kiểm tra. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 104 
Nhận xét 
  Một RA hoạt động như là một xử lý ngoại vi 
 của CA. 
  Một RA chỉ nên phục vụ cho một CA. Trong 
 khi đó, một CA có thể được hỗ trợ bởi 
 nhiều RA. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 105 
4.3.3. Kho lưu trữ chứng nhận – Certificate Repository 
(CR) 
  Một kho chứng nhận là một cơ sở dữ liệu 
 chứa các chứng nhận được phát hành bởi 
 một CA. 
  Kho có thể được tất cả các người dùng của 
 PKI. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 106 
4.4. Chu trình quản lý giấy chứng nhận 
 Khởi tạo 
 Yêu cầu về giấy chứng nhận 
 Tạo lại chứng nhận 
 Hủy bỏ chứng nhận 
 Lưu trữ và khôi phục khóa 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 107 
4.4.1. Yêu cầu về giấy chứng nhận 
 Hầu hết các CA sử dụng một trong hai phương thức 
 tiêu chuẩn của yêu cầu chứng nhận : PKCS #10 và 
 CRMF. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 108 
Mẫu yêu cầu chứng nhận theo chuẩn PKCS#10 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 109 
Định dạng thông điệp yêu cầu chứng nhận theo RFC 2511 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 110 
4.4.2. Hủy bỏ chứng nhận 
 Certificate Revocation List (CRL) là cách đầu tiên và 
 thông dụng nhất để phổ biến thông tin hủy bỏ. 
 CRL chứa thông tin thời gian nhằm xác định thời 
 điểm tổ chức CA phát hành nó. 
 CA ký CRL với cùng khóa bí mật được dùng để ký các 
 chứng nhận. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 111 
Phiên bản 2 của định dạng danh sách chứng nhận bị hủy 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 112 
4.5. Các mô hình CA 
  Mô hình tập trung 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 113 
Nhận xét 
 Tất cả mọi chứng nhận khóa công cộng đều được ký 
 tập trung bởi tổ chức CA và có thể được xác nhận 
 bằng khóa công cộng của CA. 
 Khuyết điểm chính của mô hình này là hiện tượng 
 “nút cổ chai” tại trung tâm. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 114 
Mô hình phân cấp 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 115 
Nhận xét 
 Tổ chức CA được phân ra thành nhiều cấp, tổ chức CA 
 ở cấp cao hơn sẽ ký vào chứng nhận khóa công cộng 
 của các tổ chức CA con trực tiếp của mình. 
 Một chứng nhận khóa công cộng của người sử dụng 
 sẽ được ký bởi một tổ chức CA cục bộ. 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 116 
The Mesh architecture of a PKI 
framework 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 117 
The Extended Trust List architecture of a PKI 
framework 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 118 
The Cross-certified architecture of a PKI 
framework 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 119 
The Bridge CA architecture of a PKI 
framework 
10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 120