TỔNG QUAN VỀ PKI - MSP Việt Nam

Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối trong hạ tầng khóa công khai – hay Public Key Infrastructure.

Khái niệm hạ tầng khóa công khai PKI thường được dùng chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mã hóa công khai trong trao đổi thông tin. Tuy nhiên, các cơ chế trong PKI không nhất thiết sử dụng các thuật toán mã hóa công khai.

Các thành phần của PKI

PKI dựa vào một thiết bị mật mã để bảo đảm các khóa công khai được quản lý an toàn. Các thiết bị này không hoạt động cùng lúc được thực hiện ở các hàm mảng rộng có liên quan đến việc quản lý phân phối khóa, bao gồm các thành phần sau:

  • Chứng thực và đăng ký mật mã đầu cuối.
  • Kiểm tra tính toàn vẹn của khóa công khai.
  • Chứng thực yêu cầu trong quá trình bảo quản các khóa công khai.
  • Bí mật cấp phát khóa công cộng.
  • Hủy bỏ khóa công khai khi nó không có đủ giá trị độ dài.
  • Duy trì việc thu hồi các thông tin về khóa công cộng (CRL) và phân bổ thông tin (thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol (OCSP) message).
  • Đảm bảo an toàn về độ lớn của khóa.

Chứng chỉ khóa công khai (Public Key Certificate)

Mục tiêu của việc trao đổi khóa bất đối xứng là phát một cách an toàn khóa công khai từ người gửi (mã hóa) đến người nhận (giả mã). PKI hỗ trợ tạo điều kiện cho việc trao đổi khóa an toàn để đảm bảo xác thực các bên trao đổi với nhau.

Public Key Certificate được phát bởi Certificate Authority (CA). Để CA phát Public Key Certificate cho đáp ứng mật mã đầu cuối thì đầu cuối đầu tiên phải đăng ký với CA. Quá trình đăng ký bao gồm: sự đăng ký, sự kích hoạt và sự chứng nhận của mật mã đầu cuối với PKI (CA và RA). Quá trình đăng ký như sau:

  • Mật mã đầu cuối đăng ký với CA hoặc RA (Registration Authority). Trong quá trình đăng ký, mật mã đầu cuối đưa ra cách nhận biết đến CA. CA sẽ xác thực đầu cuối, phát public key đến đầu cuối.
  • Các đầu cuối bắt đầu khởi tạo các công đoạn bằng cách tạo ra một public/private keypair và public key của keypair được chuyển đến CA.
  • CA viết mật hiệu lên public key certificate cùng với private key để tạo một public key certificate cho mật mã đầu cuối.
  • Lúc này các mật mã đầu cuối có thể yêu cầu public key certificate từ mật mã đầu cuối khác. Chúng có thể sử dụng CA public key để giả mã public key certificate để thu được khóa thích hợp.

Registration Authority

Trong nhiều trường hợp, CA sẽ cung cấp tất cả các dịch vụ cần thiết của PKI để quản lý các public key bên trong mạng. Tuy nhiên có nhiều trường hợp CA có thể ủy nhiệm làm công việc của RA, một số chức năng mà CA có thể ủy nhiệm thay thế cho RA như:

  • Kiểm tra mật mã đầu cuối đã đăng ký public key với CA để có private key mà được dùng để kết hợp với public key.
  • Phát public/private keypair được dùng để khởi tạo phase của quá trình đăng ký.
  • Xác nhận các thông số của public key.
  • Phát gián tiếp các Certification Revocation List (CRL).

Certificate Authority

CA dùng để cấp phát chứng nhận, xác thực PKI client và khi cần thiết thu hồi lại chứng nhận.

CA đại diện cho nguồn tin cậy chính của PKI. Vì CA là yếu tố duy nhất trong PKI mà có thể phát public key certification đến các mật mã đầu cuối.

CA luôn đáp ứng cho việc duy trì CRL và phục vụ các loại như CRL Issuer. PKI không phải chỉ có một CA mà PKI có thể thiết lập nhiều CA.

CA giúp thiết lập cho việc nhận dạng của các thực thể giao tiếp với nhau được đúng đắn. CA không chỉ chứng thực cho PKI client mà còn cho chứng thực CA khác bằng cách cấp phát những chứng nhận số đến chúng. Những CA đã chứng nhận lần lượt có thể chứng nhận cho những CA khác cho đến khi mỗi thực thể có thể ủy nhiệm cho những thực thể khác có liên quan trong quá trình giao dịch.

Từ khóa » Hệ Thống Pki Là Gì