Hạ tầng khóa công khai

Bách khoa toàn thư mở Wikipedia

Trong mật mã học, hạ tầng khóa công khai (tiếng Anh: Public key infrastructure, viết tắt PKI) là một
cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định
danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi
người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật. Các quá trình này thường được
thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của
người dùng. Khóa công khai thường được phân phối trong chứng thực khóa công khai.

Khái niệm hạ tầng khóa công khai (PKI) thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà
cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật
toán mật mã hóa khóa công khai trong trao đổi thông tin. Tuy nhiên phần sau được bao gồm không
hoàn toàn chính xác bởi vì các cơ chế trong PKI không nhất thiết sử dụng các thuật toán mã hóa khóa
công khai.

Mục lục
[ẩn]

• 1 Mục tiêu và các chức năng

• 2 Mô hình tiêu biểu

• 3 Các lựa chọn khác

o 3.1 Mạng lưới tín nhiệm

o 3.2 Hạ tầng khóa công cộng đơn giản

o 3.3 Nhà cung cấp chứng thực số tự động (Robot

CA)

• 4 Lịch sử

• 5 Một số ứng dụng

• 6 Một số hệ thống PKI

• 7 Xem thêm

• 8 Liên kết ngoài

o 8.1 Cung cấp chứng thực số tự động

 8.1.1 OpenPGP
  8.1.2 SSL

[sửa]Mục tiêu và các chức năng

PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng thông tin từ các chứng thực khóa
công khai để mật mã hóa và giải mã thông tin trong quá trình trao đổi. Thông thường, PKI bao
gồm phần mềm máy khách (client), phần mềm máy chủ (server), phần cứng (như thẻ thông minh) và
các quy trình hoạt động liên quan. Người sử dụng cũng có thể ký các văn bản điện tử với khóa bí
mậtcủa mình và mọi người đều có thể kiểm tra với khóa công khai của người đó. PKI cho phép
các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹn và xác thực lẫn nhau mà không cần
phải trao đổi các thông tin mật từ trước.

[sửa]Mô hình tiêu biểu

Hầu hết các hệ thống PKI quy mô doanh nghiệp đều dựa trên các chuỗi chứng thực để xác thực các
thực thể. Chứng thực của người dùng sẽ được một nhà cung cấp chứng thực số cấp, đến lượt nhà
cung cấp này lại có chứng thực được một nhà cung cấp khác ở cấp cao hơn tạo ra... Hệ thống sẽ bao
gồm nhiều máy tính thuộc nhiều tổ chức khác nhau với các gói phần mềm tương thích từ nhiều nguồn
khác nhau. Vì vậy, các tiêu chuẩn là yếu tố rất quan trọng đối với hoạt động của các PKI. Hầu hết các
tiêu chuẩn về PKI hiện tại được soạn thảo bởi nhóm làm việc PKIX của IETF.

Các hệ thống PKI doanh nghiệp thường được tổ chức theo mô hình danh bạ trong đó khóa công khai
của mỗi người dùng được lưu trữ (bên trong các chứng thực số) kèm với các thông tin cá nhân (số
điện thoại, email, địa chỉ, nơi làm việc...). Hiện nay, công nghệ danh bạ tiên tiến nhất là LDAP và định
dạng chứng thực phổ biến nhất (X.509) cũng được phát triển từ mô hình tiền nhiệm của LDAP
(X.500).

[sửa]Các lựa chọn khác

[sửa]Mạng lưới tín nhiệm

Một phương thức khác để nhận thực khóa công khai là mô hình mạng lưới tín nhiệm (web of trust).
Trong mô hình này, mỗi người sử dụng tự ký chứng thực cho mình và các bên thứ 3 (không tham gia
trực tiếp vào phiên giao dịch) kiểm chứng các chữ ký đó. Các ví dụ về mô hình này là GPG (The
GNU Privacy Guard) và PGP (Pretty Good Privacy). Do PGP và các biến thể của nó được sử dụng
rộng rãi trong email nên mô hình mạng lưới tín nhiệm thực hiện bởi PGP đang là phương thức thực
hiện PKI 2 chiều phổ biến nhất (thời điểm năm 2004).

[sửa]Hạ tầng khóa công cộng đơn giản

Hạ tầng khóa công cộng đơn giản (SPKI) là một phương thức thực hiện PKI mới được phát triển để
khắc phục sự phức tạp của giao thứcX.509 và sự tự phát của mô hình tín nhiệm PGP. SPKI gắn trực
tiếp mỗi thực thể (người sử dùng/hệ thống) với một khóa sử dụng mô hình tín nhiệm nội bộ (local trust
model). Mô hình này về cơ bản giống mô hình mạng lưới tín nhiệm của PGP có bổ sung thêm phần
cấp phép.

[sửa]Nhà cung cấp chứng thực số tự động (Robot CA)

Các rô bốt CA là các chương trình máy tính tự động có khả năng kiểm tra và xác nhận một số khía
cạnh của khóa công cộng. Các rô bốt này có thể làm giảm đáng kể những tấn công vào hệ thống, đặc
biệt là các tấn công nhằm vào việc làm chệch hướng các luồng thông tin trên mạng. Các khía cạnh
của khóa công cộng thường được kiểm tra là (a) khóa được công bố dưới nhận thức của người sở
hữu địa chỉ email gắn với khóa (b) người sở hữu địa chỉ email đang có khóa bí mật (c) tình trạng sử
dụng khóa.

[sửa]Lịch sử

Việc Diffie, Hellman, Rivest, Shamir, và Adleman công bố công trình nghiên cứu về trao đổi khóa an
toàn và thuật toán mật mã hóa khóa công khai vào năm 1976 đã làm thay đổi hoàn toàn cách thức
trao đổi thông tin mật. Cùng với sự phát triển của các hệ thống truyền thông điện tử tốc độ cao
(Internet và các hệ thống trước nó), nhu cầu về trao đổi thông tin bí mật trở nên cấp thiết. Thêm vào
đó một yêu cầu nữa phát sinh là việc xác định định dạng của những người tham gia vào quá trình
thông tin. Vì vậy ý tưởng về việc gắn định dạng người dùng với chứng thực được bảo vệ bằng các kỹ
thuật mật mã đã được phát triển một cách mạnh mẽ.

Nhiều giao thức sử dụng các kỹ thuật mật mã mới đã được phát triển và phân tích. Cùng với sự ra
đời và phổ biến của World Wide Web, những nhu cầu về thông tin an toàn và nhận thực người sử
dụng càng trở nên cấp thiết. Chỉ tính riêng các nhu cầu ứng dụng chothương mại (như giao dịch điện
tử hay truy cập những cơ sở dữ liệu bằng trình duyệt web) cũng đã đủ hấp dẫn các nhà phát triển lĩnh
vực này. Taher ElGamal và các cộng sự tại Netscape đã phát triển giao thức SSL (https trong địa chỉ
web) trong đó bao gồm thiết lập khóa, nhận thực máy chủ... Sau đó, các thiết chế PKI được tạo ra
để phục vụ nhu cầu truyền thông an toàn.

Các nhà doanh nghiệp kỳ vọng vào một thị trường hứa hẹn mới đã thành lập những công ty hoặc dự
án mới về PKI và bắt đầu vận động các chính phủ để hình thành nên khung pháp lý về lĩnh vực
này. Một dự án của American Bar Association đã xuất bản một nghiên cứu tổng quát về những vấn
đề pháp lý có thể nảy sinh khi vận hành PKI (xem thêm: các hướng dẫn chữ ký số ABA). Không
lâu sau đó, một vài tiểu bang của Hoa kỳ mà đi đầu là Utah (năm 1995) đã thông qua những dự luật
và quy định đầu tiên. Các nhóm bảo vệ quyền lợi người tiêu dùng thì đặt ra các vấn đề về bảo vệ
quyền riêng tư và các trách nhiệm pháp lý.

Tuy nhiên, các luật và quy định đã được thông qua lại không thống nhất trên thế giới. Thêm vào đó là
những khó khăn về kỹ thuật và vận hành khiến cho việc thực hiện PKI khó khăn hơn rất nhiều so với
kỳ vọng ban đầu.

Tại thời điểm đầu thế kỷ 21, người ta nhận ra rằng các kỹ thuật mật mã cũng như các quy trình/giao
thức rất khó được thực hiện chính xác và các tiêu chuẩn hiện tại chưa đáp ứng được các yêu cầu đề
ra.

Thị trường PKI thực sự đã tồn tại và phát triển nhưng không phải với quy mô đã được kỳ vọng từ
những năm giữa của thập kỷ 1990. PKI chưa giải quyết được một số vấn đề mà nó được kỳ vọng.
Những PKI thành công nhất tới nay là các phiên bản do các chính phủ thực hiện.

[sửa]Một số ứng dụng

Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối liên hệ giữa khóa và định dạng
người dùng. Nhờ vậy người dùng có thể sử dụng trong một số ứng dụng như:

 Mã hóa Email hoặc xác thực người gửi Email (OpenPGP or S/MIME).

 Mã hóa hoặc nhận thực văn bản (Các tiêu chuẩn Chữ ký XML * hoặc mã hóa XML * khi văn
bản được thể hiện dưới dạng XML).

 Xác thực người dùng ứng dụng (Đăng nhập bằng thẻ thông minh, nhận thực người dùng
trong SSL).

 Các giao thức truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE, SSL): trao đổi khóa
bằng khóa bất đối xứng, còn mã hóa bằng khóa đối xứng.
[sửa]Một số hệ thống PKI

Dưới đây là danh sách một số hệ thống PKI, trong đó một số nhà cung cấp chứng thực số hàng đầu
(ví dụ VeriSign) không được liệt kê vì các phần mềm của họ không được công bố công khai.

 Hệ thống quản lý chứng thực Red Hat

 Computer Associates eTrust PKI

 Entrust

 Microsoft
  US Government External Certificate Authority (ECA)

 Nexus

 OpenCA (Một mô hình PKI mã nguồn mở)

 RSA Security

 phpki

 GenCerti

 ejbca

 newpki

 Papyrus CA Software

 pyCA

 IDX-PKI

 EuropePKI (not available)

 TinyCA

 ElyCA

 SimpleCA

 SeguriData

 Safelayer Secure Communications

[sửa]Xem thêm

 Mạng lưới tín nhiệm

 Mật mã hóa khóa công khai

 Nhận thực khóa

 Danh sách chứng thực số bị thu hồi

 Microsoft CAPI

 FIPS 201 PIV (Kiểm tra định dạng cá nhân các nhân viên và nhà thầu của chính phủ)

 PKCS Các tiêu chuẩn mã hóa khóa công khai

[sửa]Liên kết ngoài
  PKI tutorial by Peter Gutmann

 PKIX workgroup

 Easing the PAIN — a detailed explanation of PKI Privacy, Authentication, Integrity and Non-
repudiation (PAIN)

 NIST PKI Program — in which the National Institute of Standards and Technology (NIST) is
attempting to develop a public key infrastructure

 Mozilla Open Source PKI Projects

 NewPKI — a PKI based on the OpenSSL low-level API

[sửa]Cung cấp chứng thực số tự động

[sửa]OpenPGP

 cardboard.net llc "currently broken"

 Imperial Violet (Adam Langley)

 Robot Certificate Authority, at JamesHoward.us

 Toehold (Kyle Hasselbacher)

 signedtimestamp.org

 PGP Corporation

[sửa]SSL

 Ascertia PVT Ltd Free Certificates

 CAcert.org

 CertifyID Certificates

 Thawte.com 123 SSL Certificates

 Geotrust QuickSSL Certificates

 Godaddy Turbo SSL Certificates

 Comodo SSL Certificates

 DigiCert SSL Certificates

 VeriSign SSL Certificates

ĈӅ tài khoa hӑc cҩp trѭӡng Tri͋n khai các dch͓ vͭ͹d a trên CA
Trang 1
I. Giӟi thiӋu
Ngày nay, viӋc giao tiӃp qua mҥng Internet ÿang trӣ thành mӝt nhu cҫu cҩp thiӃt.
Các thông tin truyӅn trên mҥng ÿӅu rҩt quan trӑng, nhѭ mã sӕ tài khoҧn, thông tin
Pұt... Tuy nhiên, vӟi các thӫÿRҥn tinh vi, nguy cѫ bӏăn cҳp thông tin qua mҥng
cNJng
ngày càng gia tăng. HiӋn giao tiӃp qua Internet chӫ yӃu sӱ dөng giao thӭc TCP/IP.
Ĉây là giao thӭc cho phép các thông tin ÿѭӧc gӱi tӯ máy tính này tӟi máy tính khác
thông qua mӝt loҥt các máy trung gian hoһc các mҥng riêng biӋt. Chính ÿLӅu này ÿã
Wҥo cѫ hӝi cho nhӳng ''kҿ trӝm'' công nghӋ cao có thӇ thӵc hiӋn các hành ÿӝng phi
pháp. Các thông tin truyӅn trên mҥng ÿӅu có thӇ bӏ nghe tr͡m (Eavesdropping), gi̫
P̩o (Tampering), P̩o danh (Impersonation) .v.v. Các biӋn pháp bҧo mұt hiӋn nay,
chҷng hҥn nhѭ dùng mұt khҭu, ÿӅu không ÿҧm bҧo vì có thӇ bӏ nghe trӝm hoһc bӏ
dò
ra nhanh chóng.
Do vұy, ÿӇ bҧo mұt, các thông tin truyӅn trên Internet ngày nay ÿӅu có xu hѭӟng
ÿѭӧc mã hoá. Trѭӟc khi truyӅn qua mҥng Internet, ngѭӡi gӱi mã hoá thông tin, trong
quá trình truyӅn, dù có ''chһn'' ÿѭӧc các thông tin này, kҿ trӝm cNJng không thӇÿӑc
ÿѭӧc vì bӏ mã hoá. Khi tӟi ÿích, ngѭӡi nhұn sӁ sӱ dөng mӝt công cөÿһc biӋt ÿӇ
giҧi
mã. Phѭѫng pháp mã hoá và bҧo mұt phә biӃn nhҩt ÿang ÿѭӧc thӃ giӟi áp dөng là
chӭng chӍ sӕ (Digital Certificate). Vӟi chӭng chӍ sӕ, ngѭӡi sӱ dөng có thӇ mã hoá
thông tin Pӝt cách hiӋu quҧ, chӕng giҧ mҥo (cho phép ngѭӡi nhұn kiӇm tra thông
tin
có bӏ thay ÿәi không), xác thӵc danh tính cӫa ngѭӡi gӱi. Ngoài ra chӭng chӍ sӕ còn
là
Eҵng chӭng giúp chӕng chӕi cãi nguӗn gӕc, ngăn chһn ngѭӡi gӱi chӕi cãi nguӗn
gӕc
tài liӋu mình ÿã gӱi.
Mӝt cách mã hóa dӳ liӋu ÿҧm bҧo an toàn ÿó là mã hóa khóa công khai. ĈӇ
Vӱ dөng ÿѭӧc cách mã hóa này, cҫn phҧi có mӝt chӭng chӍ sӕ tӯ tә chӭc quҧn
trӏÿѭӧc
Jӑi là nhà cung cҩp chӭng chӍ sӕ ( certification authority – CA).
II. Cѫ sӣ hҥ tҫng khóa công khai
II.1 Khái niӋm
0ӝt PKI (public key infrastructure) cho phép ngѭӡi sӱ dөng cӫa mӝt mҥng công
Fӝng không bҧo mұt, chҷng hҥn nhѭ Internet, có thӇ trao ÿәi dӳ liӋu và tiӅn mӝt
cách
an toàn thông qua viӋc sӱ dөng mӝt cһp mã khoá công khai và cá nhân ÿѭӧc cҩp phát
và sӱ dөng qua mӝt nhà cung cҩp chӭng thӵc ÿѭӧc tín nhiӋm. NӅn tҧng khoá công
khai cung cҩp mӝt chӭng chӍ sӕ, dùng ÿӇ xác minh mӝt cá nhân hoһc tә chӭc, và các
Gӏch vө danh mөc có thӇ lѭu trӳ và khi cҫn có thӇ thu hӗi các chӭng chӍ sӕ. Mһc dù
các thành phҫn cѫ bҧn cӫa PKI ÿӅu ÿѭӧc phә biӃn, nhѭng mӝt sӕ nhà cung cҩp
ÿang
muӕn ÿѭa ra nhӳng chuҭn PKI riêng khác biӋt. Mӝt tiêu chuҭn chung vӅ PKI trên
Internet cNJng ÿang trong quá trình xây dӵng.
0ӝt cѫ sӣ hҥ tҫng khoá công khai bao gӗm:ĈӅ tài khoa hӑc cҩp trѭӡng Tri͋n khai các
dch
͓ vͭ͹d a trên CA
Trang 2
· 0ӝt Nhà cung cҩp chӭng thӵc sӕ (CA) chuyên cung cҩp và xác minh các
chӭng chӍ sӕ. Mӝt chӭng chӍ bao gӗm khoá công khai hoһc thông tin vӅ
khoá công khai.
· 0ӝt nhà quҧn lý ÿăng ký (Registration Authority (RA)) ÿóng vai trò nhѭ
ngѭӡi thҭm tra cho CA trѭӟc khi mӝt chӭng chӍ sӕÿѭӧc cҩp phát tӟi ngѭӡi
yêu cҫu.
· 0ӝt hoһc nhiӅu danh mөc nѫi các chӭng chӍ sӕ (vӟi khoá công khai cӫa nó)
ÿѭӧc lѭu giӳ, phөc vө cho các nhu cҫu tra cӭu, lҩy khoá công khai cӫa ÿӕi
tác cҫn thӵc hiӋn giao dӏch chӭng thӵc sӕ.
· 0ӝt hӋ thӕng quҧn lý chӭng chӍ.
II.2 Nhà cung cҩp chӭng thӵc sӕ CA (Certificate Authority)
Trong các hӋ thӕng quҧn lý chӭng thӵc sӕÿang hoҥt ÿӝng trên thӃ giӟi, Nhà cung
Fҩp chӭng thӵc sӕ (Certificate authority - CA) là mӝt tә chӭc chuyên ÿѭa ra và quҧn
lý các nӝi dung xác thӵc bҧo mұt trên mӝt mҥng máy tính, cùng các khoá công khai
ÿӇ mã hoá thông tin. Là mӝt phҫn trong Cѫ sӣ hҥ tҫng khoá công khai (public key
infrastructure - PKI), mӝt CA sӁ kiӇm soát cùng vӟi mӝt nhà quҧn lý ÿăng ký
(Registration authority - RA) ÿӇ xác minh thông tin vӅ mӝt chӭng chӍ sӕ mà ngѭӡi
yêu cҫu xác thӵc ÿѭa ra. NӃu RA xác nhұn thông tin cӫa ngѭӡi cҫn xác thӵc, CA sau
ÿó sӁÿѭa ra mӝt chӭng chӍ.
TuǤ thuӝc vào viӋc triӇn khai cѫ sӣ hҥ tҫng khoá công khai, chӭng chӍ sӕ sӁ bao
Jӗm khoá công khai cӫa ngѭӡi sӣ hӳu, thӡi hҥn hӃt hiӋu lӵc cӫa chӭng chӍ, tên chӫ
sӣ
Kӳu và các thông tin khác vӅ chӫ khoá công khai.
II.3 Chӭng chӍ sӕ
II.3.1 Khái niӋm
Chӭng chӍ sӕ là mӝt tӋp tin ÿLӋn tӱ dùng ÿӇ xác minh danh tính mӝt cá nhân, mӝt
máy chӫ, mӝt công ty... trên Internet. Nó giӕng nhѭ bҵng lái xe, hӝ chiӃu, chӭng minh
thѭ hay nhӳng giҩy tӡ xác minh cá nhân.
ĈӇ có chӭng minh thѭ, bҥn phҧi ÿѭӧc cѫ quan Công An sӣ tҥi cҩp. Chӭng chӍ sӕ
FNJng vұy, phҧi do mӝt tә chӭc ÿӭng ra chӭng nhұn nhӳng thông tin cӫa bҥn là chính
xác, ÿѭӧc gӑi là Nhà cung cҩp chӭng thӵc sӕ (Certificate Authority, viӃt tҳt là CA).
CA phҧi ÿҧm bҧo vӅÿӝ tin cұy, chӏu trách nhiӋm vӅÿӝ chính xác cӫa chӭng chӍ
sӕ
mà mình cҩp.
Trong chӭng chӍ sӕ có ba thành phҫn chính:
· Thông tin cá nhân cӫa ngѭӡi ÿѭӧc cҩp.
· Khoá công khai (Public key) cӫa ngѭӡi ÿѭӧc cҩp.
· Chӳ ký sӕ cӫa CA cҩp chӭng chӍ.
· Thӡi gian hӧp lӋ.
Thông tin cá nhânĈӅ tài khoa hӑc cҩp trѭӡng Tri͋n khai các dch͓ vͭ͹d a trên CA
Trang 3
Ĉây là các thông tin cӫa ÿӕi tѭӧng ÿѭӧc cҩp chӭng chӍ sӕ, gӗm tên, quӕc tӏch, ÿӏa
chӍ, ÿLӋn thoҥi, email, tên tә chӭc .v.v. Phҫn này giӕng nhѭ các thông tin trên chӭng
minh thѭ cӫa mӛi ngѭӡi.
Khoá công khai
Trong khái niӋm mұt mã, khoá công khai là mӝt giá trӏÿѭӧc nhà cung cҩp chӭng
chӍÿѭa ra nhѭ mӝt khoá mã hoá, kӃt hӧp cùng vӟi mӝt khoá cá nhân duy nhҩt ÿѭӧc
Wҥo ra tӯ khoá công khai ÿӇ tҥo thành cһp mã khoá bҩt ÿӕi xӭng.
Nguyên lý hoҥt ÿӝng cӫa khoá công khai trong chӭng chӍ sӕ là hai bên giao dӏch
phҧi biӃt khoá công khai cӫa nhau. Bên A muӕn gӱi cho bên B thì phҧi dùng khoá
công khai cӫa bên B ÿӇ mã hoá thông tin. Bên B sӁ dùng khoá cá nhân cӫa mình ÿӇ
Pӣ thông tin ÿó ra. Tính bҩt ÿӕi xӭng trong mã hoá thӇ hiӋn ӣ chӛ khoá cá nhân có
thӇ giҧi mã dӳ liӋu ÿѭӧc mã hoá bҵng khoá công khai (trong cùng mӝt cһp khoá duy
nhҩt mà mӝt cá nhân sӣ hӳu), nhѭng khoá công khai không có khҧ năng giҧi mã
lҥi
thông tin, kӇ cҧ nhӳng thông tin do chính khoá công khai ÿó ÿã mã hoá. Ĉây là ÿһc
tính cҫn thiӃt vì có thӇ nhiӅu cá nhân B,C, D... cùng thӵc hiӋn giao dӏch và có khoá
công khai cӫa A, nhѭng C,D... không thӇ giҧi mã ÿѭӧc các thông tin mà B gӱi cho A
dù cho ÿã chһn bҳt ÿѭӧc các gói thông tin gӱi ÿi trên mҥng.
0ӝt cách hiӇu nôm na, nӃu chӭng chӍ sӕ là mӝt chӭng minh thѭ nhân dân, thì
khoá công khai ÿóng vai trò nhѭ danh tính cӫa bҥn trên giҩy chӭng minh thѭ (gӗm tên
ÿӏa chӍ, ҧnh...), còn khoá cá nhân là gѭѫng mһt và dҩu vân tay cӫa bҥn. NӃu coi
mӝt
Eѭu phҭm là thông tin truyӅn ÿi, ÿѭӧc "mã hoá" bҵng ÿӏa chӍ và tên ngѭӡi nhұn
cӫa
Eҥn, thì dù ai ÿó có dùng chӭng minh thѭ cӫa bҥn vӟi mөc ÿich lҩy bѭu phҭm này,
hӑ
FNJng không ÿѭӧc nhân viên bѭu ÿLӋn giao bѭu kiӋn vì ҧnh mһt và dҩu vân tay
không
giӕng.
Chӳ ký sӕ cӫa CA cҩp chӭng chӍ
Còn gӑi là chӭng chӍ gӕc. Ĉây chính là sӵ xác nhұn cӫa CA, bҧo ÿҧm tính chính
xác và hӧp lӋ cӫa chӭng chӍ. Muӕn kiӇm tra mӝt chӭng chӍ sӕ, trѭӟc tiên phҧi
kiӇm
tra chӳ ký sӕ cӫa CA có hӧp lӋ hay không. Trên chӭng minh thѭ, ÿây chính là con
Gҩu xác nhұn cӫa Công An TӍnh hoһc Thành phӕ mà bҥn trӵc thuӝc. VӅ nguyên
tҳc,
khi kiӇm tra chӭng minh thѭ, ÿúng ra ÿҫu tiên phҧi là xem con dҩu này, ÿӇ biӃt
chӭng
minh thѭ có bӏ làm giҧ hay không.
II.3.2 Lӧi ích cӫa chӭng chӍ sӕ
a) Mã hoá
Lӧi ích ÿҫu tiên cӫa chӭng chӍ sӕ là tính bҧo mұt thông tin. Khi ngѭӡi gӱi ÿã mã
hoá thông tin bҵng khoá công khai cӫa bҥn, chҳc chҳn chӍ có bҥn mӟi giҧi mã
ÿѭӧc
thông tin ÿӇÿӑc. Trong quá trình truyӅn thông tin qua Internet, dù có ÿӑc ÿѭӧc các
gói tin ÿã mã hoá này, kҿ xҩu cNJng không thӇ biӃt ÿѭӧc trong gói tin có thông tin
gì. Ĉây là mӝt tính năng rҩt quan trӑng, giúp ngѭӡi sӱ dөng hoàn toàn tin cұy vӅ
khҧ
Qăng bҧo mұt thông tin. Nhӳng trao ÿәi thông tin cҫn bҧo mұt cao, chҷng hҥn giao
Gӏch liên ngân hàng, ngân hàng ÿLӋn tӱ, thanh toán bҵng thҿ tín dөng, ÿӅu cҫn phҧi
có
chӭng chӍ sӕÿӇÿҧm bҧo an toàn.ĈӅ tài khoa hӑc cҩp trѭӡng Tri͋n khai các dch ͓ vͭ
d͹a trên CA
Trang 4
b) Chӕng giҧ mҥo
Khi bҥn gӱi ÿi mӝt thông tin, có thӇ là mӝt dӳ liӋu hoһc mӝt email, có sӱ dөng
chӭng chӍ sӕ, ngѭӡi nhұn sӁ kiӇm tra ÿѭӧc thông tin cӫa bҥn có bӏ thay ÿәi hay
không. Bҩt kǤ mӝt sӵ sӱa ÿәi hay thay thӃ nӝi dung cӫa thông ÿLӋp gӕc ÿӅu sӁ bӏ
phát
hiӋn. Ĉӏa chӍ mail, tên domain... ÿӅu có thӇ bӏ kҿ xҩu làm giҧÿӇÿánh lӯa ngѭӡi
nhұn
ÿӇ lây lan virus, ăn cҳp thông tin quan trӑng. Tuy nhiên, chӭng chӍ sӕ thì
không thӇ
làm giҧ, nên viӋc trao ÿәi thông tin có kèm chӭng chӍ sӕ luôn ÿҧm bҧo an toàn.
c) Xác thӵc
Khi gӱi mӝt thông tin kèm chӭng chӍ sӕ, ngѭӡi nhұn - có thӇ là ÿӕi tác kinh doanh,
Wә chӭc hoһc cѫ quan chính quyӅn - sӁ xác ÿӏnh rõ ÿѭӧc danh tính cӫa bҥn. Có
nghƭa
là dù không nhìn thҩy bҥn, nhѭng qua hӋ thӕng chӭng chӍ sӕ mà bҥn và ngѭӡi
nhұn
cùng sӱ dөng, ngѭӡi nhұn sӁ biӃt chҳc chҳn ÿó là bҥn chӭ không phҧi là mӝt ngѭӡi
khác. Xác thӵc là mӝt tính năng rҩt quan trӑng trong viӋc thӵc hiӋn các giao dӏch ÿLӋn
Wӱ qua mҥng, cNJng nhѭ các thӫ tөc hành chính vӟi cѫ quan pháp quyӅn. Các hoҥt
ÿӝng
này cҫn phҧi xác minh rõ ngѭӡi gӱi thông tin ÿӇ sӱ dөng tѭ cách pháp nhân. Ĉây
chính là nӅn tҧng cӫa mӝt Chính phӫÿLӋn tӱ, môi trѭӡng cho phép công dân có thӇ
giao tiӃp, thӵc hiӋn các công viӋc hành chính vӟi cѫ quan nhà nѭӟc hoàn toàn qua
Pҥng. Có thӇ nói, chӭng chӍ sӕ là mӝt phҫn không thӇ thiӃu, là phҫn cӕt lõi cӫa
Chính
phӫÿLӋn tӱ.
d) Chӕng chӕi cãi nguӗn gӕc
Khi sӱ dөng mӝt chӭng chӍ sӕ, bҥn phҧi chӏu trách nhiӋm hoàn toàn vӅ nhӳng
thông tin mà chӭng chӍ sӕÿi kèm. Trong trѭӡng hӧp ngѭӡi gӱi chӕi cãi, phӫ nhұn
mӝt
thông tin nào ÿó không phҧi do mình gӱi (chҷng hҥn mӝt ÿѫn ÿһt hàng qua mҥng),
chӭng chӍ sӕ mà ngѭӡi nhұn có ÿѭӧc sӁ là bҵng chӭng khҷng ÿӏnh ngѭӡi gӱi là
tác giҧ
Fӫa thông tin ÿó. Trong trѭӡng hӧp chӕi cãi, CA cung cҩp chӭng chӍ sӕ cho hai bên
sӁ
chӏu trách nhiӋm xác minh nguӗn gӕc thông tin, chӭng tӓ nguӗn gӕc thông tin ÿѭӧc
Jӱi.
e) Chӳ ký ÿLӋn tӱ
Email ÿóng mӝt vai trò khá quan trӑng trong trao ÿәi thông tin hàng ngày cӫa
chúng ta vì ѭu ÿLӇm nhanh, rҿ và d Ӊ sӱ dөng. Nhӳng thông ÿLӋp có thӇ gӱi ÿi
chóng, qua Internet, ÿӃn nhӳng khách hàng, ÿӗng nghiӋp, nhà cung cҩp và các ÿӕi tác.
Tuy nhiên, email rҩt dӉ bӏÿӑc bӣi các hacker. Nhӳng thông ÿLӋp có thӇ bӏÿӑc hay bӏ
giҧ mҥo trѭӟc khi ÿӃn ngѭӡi nhұn.
%ҵng viӋc sӱ dөng chӭng chӍ sӕ cá nhân, bҥn sӁ ngăn ngӯa ÿѭӧc các nguy cѫ
này
mà vүn không làm giҧm nhӳng lӧi thӃ cӫa email. Vӟi chӭng chӍ sӕ cá nhân, bҥn có
thӇ tҥo thêm mӝt chӳ ký ÿLӋn tӱ vào email nhѭ mӝt bҵng chӭng xác nhұn cӫa mình.
Chӳ ký ÿLӋn tӱ cNJng có các tính năng xác thӵc thông tin, toàn vҽn dӳ liӋu và chӕng
chӕi cãi nguӗn gӕc.
Ngoài ra, chӭng chӍ sӕ cá nhân còn cho phép ngѭӡi dùng có thӇ chӭng thӵc mình
Yӟi mӝt web server thông qua giao thӭc bҧo mұt SSL. Phѭѫng pháp chӭng thӵc
dӵaĈӅ tài khoa hӑc cҩp trѭӡng Tri͋n khai các dch͓ vͭ͹d a trên CA
Trang 5
trên chӭng chӍ sӕÿѭӧc ÿánh giá là tӕt, an toàn và bҧo mұt hѫn phѭѫng pháp chӭng
thӵc truyӅn thӕng dӵa trên mұt khҭu.
f) %ҧo mұt Website
Khi Website cӫa bҥn sӱ dөng cho mөc ÿích thѭѫng mҥi ÿLӋn tӱ hay cho nhӳng
Pөc ÿích quan trӑng khác, nhӳng thông tin trao ÿәi giӳa bҥn và khách hàng cӫa bҥn
có thӇ bӏ lӝ. ĈӇ tránh nguy cѫ này, bҥn có thӇ dùng chӭng chӍ sӕ SSL Server ÿӇ
bҧo
Pұt cho Website cӫa mình.
Chӭng chӍ sӕ SSL Server sӁ cho phép bҥn lұp cҩu hình Website cӫa mình theo
giao thӭc bҧo mұt SSL (Secure Sockets Layer). Loҥi chӭng chӍ sӕ này sӁ cung cҩp
cho Website cӫa bҥn mӝt ÿӏnh danh duy nhҩt nhҵm ÿҧm bҧo vӟi khách hàng cӫa
bҥn
YӅ tính xác thӵc và tính hӧp pháp cӫa Website. Chӭng chӍ sӕ SSL Server cNJng cho
phép trao ÿәi thông tin an toàn và bҧo mұt giӳa Website vӟi khách hàng, nhân viên và
ÿӕi tác cӫa bҥn thông qua công nghӋ SSL mà nәi bұt là các tính năng:
+ Thӵc hiӋn mua bán bҵng thҿ tín dөng.
+ Bҧo vӋ nhӳng thông tin cá nhân nhҥy cҧm cӫa khách hàng.
+ Ĉҧm bҧo hacker không thӇ dò tìm ÿѭӧc mұt khҭu.
g) Ĉҧm bҧo phҫn mӅm
1Ӄu bҥn là mӝt nhà sҧn xuҩt phҫn mӅm, chҳc chҳn bҥn sӁ cҫn nhӳng ''con tem
chӕng hàng giҧ'' cho sҧn phҭm cӫa mình. Ĉây là mӝt công cө không thӇ thiӃu trong
viӋc áp dөng hình thӭc sӣ hӳu bҧn quyӅn. Chӭng chӍ sӕ Nhà phát triӇn phҫn mӅm
sӁ
cho phép bҥn ký vào các applet, script, Java software, ActiveX control, các file dҥng
EXE, CAB, DLL... Nhѭ vұy, thông qua chӭng chӍ sӕ, bҥn sӁÿҧm bҧo tính hӧp
pháp
FNJng nhѭ nguӗn gӕc xuҩt xӭ cӫa sҧn phҭm. Hѫn nӳa ngѭӡi dùng sҧn phҭm có thӇ
xác
thӵc ÿѭӧc bҥn là nhà cung cҩp, phát hiӋn ÿѭӧc sӵ thay ÿәi cӫa chѭѫng trình (do vô
tình hӓng hay do virus phá, bӏ crack và bán lұu...).
9ӟi nhӳng lӧi ích vӅ bҧo mұt và xác thӵc, chӭng chӍ sӕ hiӋn ÿã ÿѭӧc sӱ dөng rӝng
rãi trên thӃ giӟi nhѭ mӝt công cө xác minh danh tính cӫa các bên trong giao dӏch
thѭѫng mҥi ÿLӋn tӱ. Ĉây là mӝt nӅn tҧng công nghӋ mang tính tiêu chuҭn trên
toàn
Fҫu, mһc dù ӣ mӛi nѭӟc có mӝt sӕ chính sách quҧn lý chӭng thӵc sӕ khác nhau. Mӛi
quӕc gia ÿӅu cҫn có nhӳng CA bҧn ÿӏa ÿӇ chӫÿӝng vӅ các hoҥt ÿӝng chӭng thӵc sӕ
trong nѭӟc. Nhѭng ngoài ra, nӃu muӕn thӵc hiӋn TMĈT vѭӧt ra ngoài biên giӟi, các
quӕc gia cNJng phҧi tuân theo các chuҭn công nghӋ chung, và thӵc hiӋn chӭng thӵc
chéo, trao ÿәi và công nhұn các CA cӫa nhau.