PUBLIC KEY INFRASTRUCTURE
PKI (Public Key Infrastructure) hoạt động dựa trên sự hỗ trợ của các thẻ chứng thực số (digital certificates), nó bao gồm các thành phần: Hardware, software, tập chính sách, các thủ tục phát hành/thu hồi thẻ chứng thực và các chuẩn. Các thành phần này kết hợp với nhau để thiết lập một phương thức trao đổi thông tin trong môi trường mạng đảm bảo tính xác thực định danh đối tác ở mức an toàn cao nhất.
Nhiệm vụ chính của PKI là sử dụng chiến lược mã hóa khóa công cộng (public key encryption) để tạo, quản lý và thu hồi các thẻ chứng thực,. Cụ thể:
- Tạo và xác định tính hợp lệ của chữ ký số (digital signatures).
- Đáp ứng sự đăng ký thẻ của người sử dụng mới.
- Xác thực người sử dụng và phân phối thẻ chứng thực đến họ.
- Thu hồi các thẻ chứng thực hết hạn.
- Tạo các private key và public key cho các PKI client.
Với sự hỗ trợ của PKI, hệ thống bảo mật có thể xác thực người sử dụng theo cách an toàn hơn so với cách xác thực chuẩn (xác thực thông qua user name và password): Nó sử dụng các thẻ chứng thực có chứa thông tin định danh và public key của một đối tác trao đổi thông tin để xác định định danh và tính hợp lệ của họ. Ngoài ra, PKI còn giúp mã hóa các thông tin nhạy cảm và “ký” các tài liệu số.
Có thể nói, PKI là hạ tầng kỹ thuật thông tin, nó cho phép người dùng trên Internet trao đổi thông tin một cách riêng tư và bảo mật thông qua việc sử dụng cặp khóa public và private của riêng họ. Cặp khóa này được nhận và được chia sẻ thông qua một trung tâm ủy quyền tin cậy (CA).
PKI cung cấp thẻ chứng thực số cho các đối tác tham gia trao đổi thông tin trên môi trường Internet. Thẻ này được sử dụng để định danh một cá nhân, một tổ chức hoặc một dịch vụ thư mục nào đó.
Các thành phần của PKI
Hệ thống PKI bao gồm các thành phần chính sau
- PKI client
- Certification Authority (CA) – Ủy quyền thẻ chứng thực.
- Registration Authority (RA) – Ủy quyền đăng ký
- Digital certificates (DC) – Thẻ chứng thực số
- Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
Ngoài ra còn có các thành phần khác
- Validation Authority (VA) – Ủy quyền xác nhận hợp lệ: Xác nhận tính hợp lệ thể chứng thực số của một đối tác trao đổi thông tin.
- Certificate revocation list (CRL): Chứa danh sách các thẻ chứng thực bị thu hồi bởi CA.
- Kỹ thuật mã hóa public key và privte key: Có thể được sử dụng để mã hóa và giải mã thông tin.
- Các đối tác (partner)/Đối tượng (Subject): Có thể là users, organizations hoặc service systems: Đây là những đối tượng muốn sử dụng kỹ thuật public key và private key để trao đổi thông tin một cách an toàn.
Hình sau đây cho ta một cái nhìn khái quát nhất về chức năng của các thành phần trong hệ thống PKI và sự hoạt động của hệ thống này:
User gửi yêu cầu phát hành thẻ chứng thực và public key của nó đến RA (1); Sau khi xác nhận tính hợp lệ định danh của user thì RA sẽ chuyển yêu cầu này đến CA (2); CA phát hành thẻ chứng thực cho user (3); Sau đó user “ký” thông điệp trao đổi với thẻ chứng thực mới vừa nhận được từ CA và sử dụng chúng (thẻ chứng thục số + chữ ký số) trong giao dịch (4); Định danh của user được kiểm tra bởi đối tác thông qua sự hỗ trợ của VA (5): Nếu thẻ chứng thực của user được xác nhận tính hợp lệ (6) thì đối tác mới tin cậy user và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về các thẻ chứng thực đã được phát hành từ CA (a)).
PKI client
PKI client yêu cầu một thẻ chứng thực số từ CA hoặc từ RA. Điều này là cần thiết với PKI client, vì nó phải nhận được thẻ chứng thực số trước khi nó có thể truyền dữ liệu. RA kiểm tra giấy ủy nhiệm (credential) của client trước khi phát hành thẻ chứng thực số mà client yêu cầu.
Certification Authority (CA) – Ủy quyền thẻ chứng thực
CA là thành phần thứ 3 tin cậy (trusted third part), nó nhận một yêu cầu phát hành (cấp) thẻ chứng thực, từ một tổ chức hoặc một cá nhân nào đó, và phát hành thẻ chứng thực yêu cầu đến họ sau khi đã xác thực client yêu cầu (Verisign và MSN là hai công ty CA nổi tiếng thế giới).
CA dựa vào các chính sách, trao đổi thông tin trong môi trường bảo mật, của tổ chức để định nghĩa một tập các quy tắc, các thủ tục liên quan đến việc phát hành thẻ chứng thực. Mọi họat động tạo, phát hành, thu hồi thẻ chứng thực sau này đều tuân theo các quy tắc, thủ tục này.
Quá trình xác thực dựa trên CA có thể được minh họa như sau:
Registration Authority (RA) – Ủy quyền đăng ký
Nhiệm vụ của RA kiểm tra yêu cầu thẻ chứng thực số của client.
Khi một PKI client gửi yêu cầu phát hành thẻ chứng thực số đến một CA, CA ủy quyền sự phản hồi xác thực yêu cầu đến RA. Sau khi kiểm tra yêu cầu thành công, RA forward yêu cầu đến CA. CA nhận yêu cầu, phát hành thẻ chứng thực yêu cầu, và gửi thẻ chứng thực đến RA. RA forward thẻ đó đến cho PKI client (gửi yêu cầu phát hành thẻ chứng thực trước đó).
Digital certificates (DC) – Thẻ chứng thực số
Thẻ chứng thực số được xem như một card định danh (ID card) sử dụng trong môi trường điện tử/môi trường mạng máy tính. Nếu như trong thực tế, người ta dùng ID card để định danh duy nhất một cá nhân nào đó thì trong môi trường trao đổi thông tin an toàn, PKI sử dụng thẻ chứng thực số để định danh duy nhất một đối tượng nào đó trong suốt quá trình truyền thông.
Thẻ chứng thực số chứa các thông tin sau:
- Số serial của thẻ chứng thực
- Ngày hết hạn của thẻ chứng thực
- Chữ ký số của CA
- Public key của PKI client
Trong quá trình giao dịch, bên gửi gửi thẻ chứng thực số, cùng với dữ liệu đã được mã hóa, của nó cho bên nhận. Bên nhận cuối sử dụng thẻ chứng thực số này để xác nhận tính hợp lệ xác thực của bên gửi.
Bên nhận, sử dụng public key của CA để giải mã public key của bên gửi (được nhận cùng với thông điệp được mã hóa đến từ bên gửi). Sau khi định dang của bên gửi là được xác định, bên nhận sử dụng public key của bên gửi để giải mã dữ liệu mà nó nhận được.
Certificate Distribution System (CDS) – Hệ thống phân phối thẻ
CDS lưu trữ tất cả các thẻ chứng thực đã được phát hành đến cho người sử dụng trên mạng. CDS cũng lưu trữ các cặp khóa, tính hợp lệ và “chữ ký” của các khóa public. Danh sách các khóa hết hạn, các khóa bị thu hồi do bị mất, do bị hết hạn cũng được CDS lưu trữ.
Giao dịch dựa trên PKI
Giao dịch dựa trên PKI (Public Key Infrastructure) là một hệ thống cơ sở hạ tầng mật mã công khai, được sử dụng để bảo vệ tính toàn vẹn và an toàn của thông tin trong quá trình truyền tải qua mạng. Dưới đây là mô tả tổng quan về cách giao dịch dựa trên PKI thực hiện:
Xác định Danh tính (Identity Establishment)
- Mỗi bên tham gia trong giao dịch sẽ có một cặp khóa công khai và khóa riêng tư. Khóa công khai được chia sẻ rộng rãi, trong khi khóa riêng tư được bảo mật.
- Người dùng hoặc thực thể có thể nhận diện bằng cách sử dụng chứng thực số dựa trên cặp khóa này.
Chứng thực (Authentication)
- Khi một bên muốn xác minh danh tính của người khác, họ sử dụng khóa công khai của người đó để kiểm tra chữ ký số hoặc chứng thực số.
- Quá trình này giúp đảm bảo rằng người tham gia giao dịch là người hợp pháp và không bị giả mạo.
Tạo và Xác nhận Chữ ký số (Digital Signatures)
- Khi một bên tạo thông tin để gửi, họ sử dụng khóa riêng tư của mình để tạo chữ ký số, là một giá trị mật mã duy nhất liên kết với dữ liệu.
- Người nhận có thể sử dụng khóa công khai của bên gửi để kiểm tra chữ ký số và xác nhận tính toàn vẹn của dữ liệu.
Mã hóa (Encryption)
- Khi thông tin được truyền tải, nó có thể được mã hóa bằng cách sử dụng khóa công khai của người nhận.
- Chỉ người nhận có khóa riêng tư tương ứng mới có thể giải mã thông tin được mã hóa.
Quản lý Chứng chỉ số (Certificate Management)
Chứng chỉ số là một phần quan trọng trong hệ thống PKI. Chúng chứa thông tin về chủ thể của chúng, bao gồm khóa công khai của họ và được ký bởi một cơ quan chứng thực đáng tin cậy (CA).
Cơ quan Chứng thực (Certification Authority – CA)
- CA chịu trách nhiệm xác nhận danh tính của các bên tham gia trong hệ thống PKI.
- CA ký và phát hành chứng chỉ số để chứng minh tính toàn vẹn của khóa công khai và danh tính của người sử dụng.
Quản lý Khóa (Key Management)
- Quản lý khóa là một phần quan trọng trong PKI để đảm bảo an toàn và bảo mật của khóa công khai và khóa riêng tư.
Giao dịch dựa trên PKI đảm bảo tính toàn vẹn, xác thực, và bảo mật của dữ liệu trong quá trình truyền tải, giúp ngăn chặn các vấn đề như giả mạo, tin tặc, và đánh cắp thông tin.