- Chứng thƣ số. - Chứng thƣ khóa công khai X509. - Quy trình cấp chứng thƣ số. - Thu hồi chứng thƣ số. - Chính sách chứng thƣ. - Cấp phát chứng thƣ trên EJBCA. - Khai báo chứng thƣ ngƣời dùng. - 26 Hình 5: Ví dụ một chứng thƣ số - chứng thƣ của máy chủ mail Viettel. - 38 Hình 6: Khuôn dạng chứng thƣ X509 v3. - 39 Hình 7: Ví dụ thông tin chi tiết của chứng thƣ. - 47 Hình 9: Đƣờng dẫn chứng thƣ chéo. - 64 Hình 19: Luồng tạo thực thể cuối, cấp chứng thƣ. - 73 Hình 25: Thông tin chứng thƣ Root CA. - 75 Hình 27: Ví dụ chứng thƣ của khách hàng sinh bởi hệ thống. - 75 9 Hình 28: Ví dụ chứng thƣ của khách hàng. - 76 Hình 29: Ví dụ ký và xác nhận văn bản sử dụng chứng thƣ sinh bởi hệ thống76 Hình 30: Cài đặt biến môi trƣờng. - 90 Hình 42: Ví dụ khai báo chứng thƣ cho khách hàng. - 91 Hình 43: Ví dụ khai báo chứng thƣ cho nhân viên. - thông điệp. - sử dụng khóa. - thông điệp. - sử dụng khóa công khai. - mã hóa sử dụng. - Định dạng này đƣợc gọi là chứng thƣ số (hay chứng thƣ khóa công khai – Public Key Certificate (PKC), hoặc đơn giản là chứng thƣ). - Tính hợp lệ của các thông tin đƣợc đảm bảo bằng chữ ký số của chủ thể cấp chứng thƣ. - Một số dạng chứng thƣ số đƣợc sử dụng hiện nay nhƣ: chứng thƣ khoá công khai X.509, chứng thƣ khoá công khai đơn giản (Simple Public Key Certificates - SPKC), chứng thƣ Pretty Good Privacy (PGP). - Mỗi loại chứng thƣ có cấu trúc định dạng riêng. - Hiện nay, chứng thƣ khoá công khai X.509 đƣợc sử dụng phổ biến trong hầu hết các hệ thống PKI. - Hệ thống PKI đƣợc nghiên cứu cũng sử dụng định dạng chứng thƣ X.509, nên luận văn tập 39 trung xem xét chi tiết chứng thƣ khóa công khai X.509. - Chứng thƣ gồm 2 phần. - Khuôn dạng của chứng thƣ X.509 đƣợc chỉ ra nhƣ trong hình sau. - Version: xác định số phiên bản của chứng thƣ. - CA Signature Algorithm: chỉ ra thuật toán CA sử dụng để ký số chứng thƣ. - Issuer Name: chỉ ra CA cấp và ký chứng thƣ. - Validity Period: khoảng thời gian chứng thƣ có hiệu lực. - Extensions (Optional): chỉ có trong chứng thƣ v.3. - Tính toàn vẹn của chứng thƣ đƣợc đảm bảo bằng chữ ký số của CA trên chứng thƣ. - Khoá công khai của CA đƣợc phân phối đến ngƣời sử dụng chứng thƣ theo một số cơ chế bảo mật, trƣớc khi thực hiện các thao tác PKI. - Ngƣời sử dụng kiểm tra hiệu lực của chứng thƣ đƣợc cấp với chữ ký số của CA và khoá công khai của CA. - 41 Ngoài ra, chứng thƣ X.509 còn có một số trƣờng thông tin mở rộng. - Authority Key Indentifier: chứa ID khoá công khai của CA, ID này là duy nhất và đƣợc dùng để kiểm tra chữ ký số trên chứng thƣ. - Key Usage: chứa một chuỗi bit đƣợc sử dụng để xác định (hoặc hạn chế) chức năng hoặc dịch vụ đƣợc hỗ trợ qua việc sử dụng khoá công khai trong chứng thƣ. - Private Key Usage Period: trƣờng này cho biết thời gian sử dụng của khoá cá nhân gắn với khóa công khai trong chứng thƣ. - Certificate Policies: trƣờng này chỉ ra dãy các chính sách OIDs gắn với việc cấp và sử dụng chứng thƣ. - Nó đƣợc sử dụng trong việc thiết lập xác thực chéo và kiểm tra đƣờng dẫn chứng thƣ. - Trƣờng này chỉ có trong chứng thƣ CA. - Chứng thƣ CA dùng để thực hiện một số chức năng. - Chứng thƣ này có thể ở một trong hai dạng. - Khi một CA mới đƣợc thiết lập, CA tạo ra một chứng thƣ CA tự ký để ký lên chứng thƣ của ngƣời sử dụng cuối trong hệ thống. - Và dạng thứ hai là CA cấp chứng thƣ cho những CA khác trong hệ thống. - (Trƣờng này chỉ có trong chứng thƣ của CA. - Do đó, cần có cơ chế cho phép ngƣời sử dụng chứng thƣ (bên giao tiếp với chủ thể chứng thƣ) kiểm tra đƣợc trạng thái thu hồi chứng thƣ. - X.509 cho phép kiểm tra chứng thƣ trong các trƣờng hợp sau. - Chứng thƣ không bị thu hồi (Chứng thƣ hợp lệ. - Bản thân chứng thƣ có thể chứa con trỏ đến nơi thông tin thu hồi đƣợc xác định vị trí. - Ngƣời sử dụng chứng thƣ có thể biết thƣ mục, kho lƣu trữ hay cơ chế để lấy đƣợc thông tin thu hồi dựa trên những thông tin cấu hình đƣợc thiết lập trong quá trình khởi tạo chứng thƣ. - Một chứng thƣ có thể đƣợc cấp theo nhiều chính sách. - Một số có thể là thủ tục và mô tả mức đảm bảo gắn với việc tạo và quản lý chứng thƣ. - Những chính sách khác có thể là kỹ thuật và mô tả mức đảm bảo gắn với an toàn của hệ thống đƣợc sử dụng để tạo chứng thƣ hay nơi lƣu trữ khoá. - Bằng việc kiểm tra trƣờng này trong chứng thƣ, hệ thống sử dụng chứng thƣ có thể xác định đƣợc một chứng thƣ cụ thể có thích hợp cho mục đích sử dụng hay không. - CA cũng đƣợc gọi là bên thứ ba đƣợc tin tƣởng vì ngƣời sử dụng cuối tin tƣởng vào chữ ký số của CA trên chứng thƣ trong khi thực hiện những hoạt động mã hoá khoá công khai cần thiết. - Chứng thƣ của CA này đƣợc gọi là chứng thƣ gốc (root certificate). - Xác thực cá nhân chủ thể đăng ký chứng thƣ. - Xác nhận quyền của chủ thể đối với những thuộc tính chứng thƣ đƣợc yêu cầu. - Chỉ CA mới có thể cấp chứng thƣ hay đƣa ra thông tin trạng thái thu hồi chứng thƣ nhƣ CRL. - Kho chứng thư Kho chứng thƣ công khai lƣu trữ và phân phối chứng thƣ cùng CRL. - Có 2 phƣơng pháp phân phối chứng thƣ: 49 a. - Cũng có thể phân phối bằng cách gắn chứng thƣ trong e-mail để gửi cho ngƣời khác. - CA tạo ra cặp khoá công khai / khoá cá nhân và tạo ra chứng thƣ cho phần khoá công khai của cặp khoá. - Ngƣời sử dụng tự tạo cặp khoá và đƣa khoá công cho CA để CA tạo chứng thƣ cho khoá công khai đó. - Chứng thƣ đảm bảo tính toàn vẹn của khoá công khai và các thông tin gắn cùng. - Thẩm tra là quá trình xác định liệu chứng thƣ đã đƣa ra có thể đƣợc sử dụng đúng mục đích thích hợp hay không đƣợc. - Hay đơn giản, đây là quá trình kiểm tra tính hiệu lực của chứng thƣ. - Kiểm tra chữ ký số của CA trên chứng thƣ để kiểm tra tính toàn vẹn. - Xác định xem chứng thƣ còn ở trong thời gian có hiệu lực hay không. - 50 - Xác định xem chứng thƣ đã bị thu hồi hay chƣa. - Xác định xem chứng thƣ đang đƣợc sử dụng có đúng mục đích, chính sách, giới hạn hay không (bằng cách kiểm tra những trƣờng mở rộng cụ thể nhƣ mở rộng chính sách chứng thƣ hay mở rộng việc sử dụng khoá). - Nếu chứng thƣ đƣợc cung cấp với mục đích dùng cho những hoạt động bí mật thì sử dụng phƣơng pháp gặp mặt trực tiếp. - Nếu chứng thƣ chỉ đƣợc sử dụng cho những mục đích, hoạt động thƣờng thì có thể đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử. - Những thông tin này có thể là khoá công của CA, chứng thƣ của CA, cặp khóa công /bí mật của chủ thể. - Hạn sử dụng và cập nhật khoá Một trong những thuộc tính của chứng thƣ là thời gian hiệu lực. - Thu hồi Chứng thƣ đƣợc công bố sẽ đƣợc sử dụng trong khoảng thời gian có hiệu lực. - Công bố và gửi thông báo thu hồi chứng thư Một chứng thƣ đƣợc cấp cho ngƣời sử dụng cuối sẽ đƣợc gửi đến cho ngƣời nắm giữ và hệ thống lƣu trữ để có thể truy cập công khai. - Khi một chứng thƣ bị thu hồi vì một lý do nào đó, tất cả ngƣời sử dụng trong hệ thống sẽ đƣợc thông báo về việc này. - Xác thực chéo đƣợc thiết lập bằng cách tạo chứng thƣ CA xác thực lẫn nhau. - Ngƣời cấp của một chứng thƣ là chủ thể của chứng thƣ khác. - Khoá công khai đƣợc xác nhận trong một chứng thƣ tƣơng ứng với khoá cá nhân đƣợc sử dụng để ký chứng thƣ khác. - Chỉ có một điểm để tất cả ngƣời sử dụng có thể kiểm tra trạng thái thu hồi của chứng thƣ đã đƣợc cấp. - Trong mô hình này, mỗi thực thể sẽ giữ bản sao khoá công khai của root CA và kiểm tra đƣờng dẫn của chứng thƣ bắt đầu từ chữ ký của CA gốc. - Phần mềm ngƣời sử dụng có thể gặp phải một số vấn đề khi tìm chuỗi chứng thƣ. - Để tìm chuỗi chứng thƣ và CRLs với những mô hình khác thì việc sử dụng thƣ mục có thể trở nên khó hơn. - Các SubCAs đã đƣợc cấp chứng thƣ bởi RootCA nên có thể thực hiện cấp chứng thƣ cho các thực thể cuối tham gia vào hệ thống. - Web GUI sử dụng cơ chế xác thực chứng thƣ trên máy khách. - Vì vậy, ngƣời dùng cần có chứng thƣ đƣợc cấp bởi hệ thống để truy cập Web GUI. - Inspect: hỗ trợ ngƣời dùng kiểm tra trạng thái chứng thƣ, hoặc yêu cầu chứng thƣ (.csr. - CA cấp chứng thƣ cho thực thể cuối. - Cuối 66 cùng, thực thể cuối là ngƣời dùng, thiết bị, trang web… sử dụng chứng thƣ trong hệ thống. - CA và các thực thể cuối trong hệ thống đều sử dụng các khóa có kích thƣớc 2048 bit, và chứng thƣ đƣợc khai báo theo chuẩn X.503 v.3. - Cài đặt mô đun ký Ngƣời dùng sử dụng khóa bí mật cùng chứng thƣ đƣợc cấp bởi hệ thống để tham gia các giao dịch trong hệ thống. - Việc triển khai PKI và ứng dụng chứng thƣ số, chữ ký số vào quá trình xác thực đang là lựa chọn số một cho các hệ thống thông tin quan trọng
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt