cơ sở hạ tầng nơi công cộng
Tính năng khác biệt nhất của Cơ sở hạ tầng khóa công khai (PKI) là nó sử dụng một cặp khóa để đạt được dịch vụ bảo mật cơ bản. Cặp khóa bao gồm khóa cá nhân và khóa công khai.
Vì các khóa công khai nằm trong miền mở, chúng có khả năng bị lạm dụng. Do đó, cần thiết lập và duy trì một số loại cơ sở hạ tầng đáng tin cậy để quản lý các khóa này.
Quản lý khóa
Không cần phải nói rằng tính bảo mật của bất kỳ hệ thống mật mã nào phụ thuộc vào việc các khóa của nó được quản lý an toàn như thế nào. Nếu không có các quy trình an toàn để xử lý các khóa mật mã, lợi ích của việc sử dụng các chương trình mật mã mạnh sẽ có thể bị mất.
Người ta quan sát thấy rằng các sơ đồ mật mã hiếm khi bị xâm phạm thông qua các điểm yếu trong thiết kế của chúng. Tuy nhiên, chúng thường bị xâm nhập thông qua việc quản lý khóa kém.
Có một số khía cạnh quan trọng của quản lý chính như sau:
Các khóa mật mã không là gì ngoài những phần dữ liệu đặc biệt. Quản lý khóa đề cập đến việc quản lý an toàn các khóa mật mã.
Quản lý khóa giải quyết toàn bộ vòng đời của khóa như được mô tả trong hình minh họa sau:
Có hai yêu cầu cụ thể về quản lý khóa đối với mật mã khóa công khai.
Secrecy of private keys. Trong suốt vòng đời của khóa, khóa bí mật phải được giữ bí mật với tất cả các bên ngoại trừ những người là chủ sở hữu và được phép sử dụng chúng.
Assurance of public keys.Trong mật mã khóa công khai, các khóa công khai nằm trong miền mở và được coi là các phần dữ liệu công khai. Theo mặc định, không có đảm bảo nào về việc khóa công khai có chính xác hay không, nó có thể được liên kết với ai hoặc nó có thể được sử dụng để làm gì. Do đó, việc quản lý khóa của khóa công khai cần tập trung rõ ràng hơn nhiều vào việc đảm bảo mục đích của khóa công khai.
Yêu cầu quan trọng nhất về 'đảm bảo khóa công khai' có thể đạt được thông qua cơ sở hạ tầng khóa công khai (PKI), một hệ thống quản lý khóa để hỗ trợ mật mã khóa công khai.
Cơ sở hạ tầng khóa công khai (PKI)
PKI cung cấp sự đảm bảo về khóa công khai. Nó cung cấp việc xác định các khóa công khai và phân phối của chúng. Giải phẫu của PKI bao gồm các thành phần sau.
- Chứng chỉ khóa công khai, thường được gọi là 'chứng chỉ số'.
- Mã thông báo Khóa cá nhân.
- Chứng nhận thẩm quyền.
- Cơ quan đăng ký.
- Hệ thống quản lý chứng chỉ.
Giấy chứng nhận điện tử
Tương tự, một chứng chỉ có thể được coi là thẻ ID được cấp cho người đó. Người dân sử dụng chứng minh thư như bằng lái xe, hộ chiếu để chứng minh nhân thân. Chứng chỉ số thực hiện điều cơ bản tương tự trong thế giới điện tử, nhưng có một điểm khác biệt.
Chứng thư số không chỉ được cấp cho người mà chúng có thể được cấp cho máy tính, gói phần mềm hoặc bất kỳ thứ gì khác cần chứng minh danh tính trong thế giới điện tử.
Chứng chỉ kỹ thuật số dựa trên tiêu chuẩn ITU X.509 xác định định dạng chứng chỉ tiêu chuẩn cho chứng chỉ khóa công khai và xác thực chứng chỉ. Do đó, chứng chỉ số đôi khi còn được gọi là chứng chỉ X.509.
Khóa công khai liên quan đến máy khách người dùng được Cơ quan cấp chứng chỉ (CA) lưu trữ trong chứng chỉ số cùng với các thông tin liên quan khác như thông tin máy khách, ngày hết hạn, cách sử dụng, nhà phát hành, v.v.
CA ký kỹ thuật số toàn bộ thông tin này và bao gồm chữ ký điện tử trong chứng chỉ.
Bất kỳ ai cần sự đảm bảo về khóa công khai và thông tin liên quan của khách hàng, anh ta thực hiện quy trình xác thực chữ ký bằng khóa công khai của CA. Việc xác thực thành công đảm bảo rằng khóa công khai được cung cấp trong chứng chỉ thuộc về người có thông tin chi tiết được cung cấp trong chứng chỉ.
Quá trình lấy Chứng chỉ số của một cá nhân / tổ chức được mô tả trong hình minh họa sau.
Như trong hình minh họa, CA chấp nhận đơn từ khách hàng để chứng nhận khóa công khai của anh ta. CA, sau khi xác minh hợp lệ danh tính của khách hàng, sẽ cấp chứng chỉ số cho khách hàng đó.
Cơ quan chứng nhận (CA)
Như đã thảo luận ở trên, CA cấp chứng chỉ cho máy khách và hỗ trợ người dùng khác xác minh chứng chỉ. CA chịu trách nhiệm xác định chính xác danh tính của khách hàng yêu cầu cấp chứng chỉ và đảm bảo rằng thông tin chứa trong chứng chỉ là chính xác và ký số vào chứng chỉ đó.
Các chức năng chính của CA
Các chức năng chính của CA như sau:
Generating key pairs - CA có thể tạo một cặp khóa độc lập hoặc cùng với máy khách.
Issuing digital certificates- CA có thể được coi là PKI tương đương với cơ quan hộ chiếu - CA cấp chứng chỉ sau khi khách hàng cung cấp thông tin xác thực để xác nhận danh tính của mình. Sau đó, CA ký chứng chỉ để ngăn chặn việc sửa đổi các chi tiết có trong chứng chỉ.
Publishing Certificates- CA cần xuất bản các chứng chỉ để người dùng có thể tìm thấy chúng. Có hai cách để đạt được điều này. Một là xuất bản các chứng chỉ tương đương với một danh bạ điện thoại điện tử. Cách khác là gửi chứng chỉ của bạn cho những người mà bạn nghĩ có thể cần bằng cách này hay cách khác.
Verifying Certificates - CA cung cấp khóa công khai của mình trong môi trường để hỗ trợ xác minh chữ ký của anh ta trên chứng chỉ số của khách hàng.
Revocation of Certificates- Đôi khi, CA thu hồi chứng chỉ đã cấp do một số lý do như bị người dùng xâm phạm khóa cá nhân hoặc mất lòng tin vào máy khách. Sau khi thu hồi, CA duy trì danh sách tất cả chứng chỉ đã thu hồi có sẵn cho môi trường.
Các loại chứng chỉ
Có bốn loại chứng chỉ điển hình -
Class 1 - Các chứng chỉ này có thể dễ dàng đạt được bằng cách cung cấp địa chỉ email.
Class 2 - Các chứng chỉ này yêu cầu cung cấp thêm thông tin cá nhân.
Class 3 - Chỉ có thể mua những chứng chỉ này sau khi đã kiểm tra danh tính của người yêu cầu.
Class 4 - Chúng có thể được sử dụng bởi các chính phủ và tổ chức tài chính cần mức độ tin cậy rất cao.
Cơ quan đăng ký (RA)
CA có thể sử dụng Cơ quan đăng ký bên thứ ba (RA) để thực hiện các kiểm tra cần thiết đối với người hoặc công ty yêu cầu chứng chỉ để xác nhận danh tính của họ. RA có thể xuất hiện với khách hàng như một CA, nhưng họ không thực sự ký vào chứng chỉ được cấp.
Hệ thống quản lý chứng chỉ (CMS)
Đó là hệ thống quản lý thông qua đó các chứng chỉ được xuất bản, tạm thời hoặc vĩnh viễn bị đình chỉ, gia hạn hoặc thu hồi. Hệ thống quản lý chứng chỉ thường không xóa chứng chỉ vì có thể cần phải chứng minh trạng thái của chúng tại một thời điểm, có lẽ vì lý do pháp lý. Một CA cùng với RA liên quan chạy các hệ thống quản lý chứng chỉ để có thể theo dõi trách nhiệm và nghĩa vụ của họ.
Mã thông báo khóa cá nhân
Trong khi khóa công khai của máy khách được lưu trữ trên chứng chỉ, khóa riêng bí mật liên quan có thể được lưu trữ trên máy tính của chủ sở hữu khóa. Phương pháp này thường không được chấp nhận. Nếu kẻ tấn công giành được quyền truy cập vào máy tính, anh ta có thể dễ dàng truy cập vào khóa riêng. Vì lý do này, khóa cá nhân được lưu trữ trên quyền truy cập mã thông báo lưu trữ di động an toàn được bảo vệ thông qua mật khẩu.
Các nhà cung cấp khác nhau thường sử dụng các định dạng lưu trữ khác nhau và đôi khi là độc quyền để lưu trữ khóa. Ví dụ: Entrust sử dụng định dạng .epf độc quyền, trong khi Verisign, GlobalSign và Baltimore sử dụng định dạng .p12 tiêu chuẩn.
Hệ thống phân cấp của CA
Với mạng lưới rộng lớn và các yêu cầu của truyền thông toàn cầu, thực tế là không khả thi nếu chỉ có một CA đáng tin cậy mà tất cả người dùng có được chứng chỉ của họ. Thứ hai, chỉ có một CA có thể dẫn đến khó khăn nếu CA bị xâm phạm.
Trong trường hợp đó, mô hình chứng chỉ phân cấp được quan tâm vì nó cho phép các chứng chỉ khóa công khai được sử dụng trong môi trường mà hai bên giao tiếp không có mối quan hệ tin cậy với cùng một CA.
CA gốc nằm ở đầu phân cấp CA và chứng chỉ của CA gốc là chứng chỉ tự ký.
Các CA, trực thuộc CA gốc (Ví dụ: CA1 và CA2) có chứng chỉ CA được ký bởi CA gốc.
Các CA dưới CA cấp dưới trong hệ thống phân cấp (Ví dụ: CA5 và CA6) có chứng chỉ CA của họ do CA cấp dưới cấp cao hơn ký.
Cơ quan cấp chứng chỉ (CA) được phản ánh trong chuỗi chứng chỉ. Chuỗi chứng chỉ theo dõi một đường dẫn của chứng chỉ từ một nhánh trong cấu trúc phân cấp đến gốc của cấu trúc phân cấp.
Hình minh họa sau đây cho thấy cấu trúc phân cấp CA với chuỗi chứng chỉ dẫn từ chứng chỉ thực thể qua hai chứng chỉ CA cấp dưới (CA6 và CA3) đến chứng chỉ CA cho CA gốc.
Xác minh chuỗi chứng chỉ là quá trình đảm bảo rằng một chuỗi chứng chỉ cụ thể là hợp lệ, được ký chính xác và đáng tin cậy. Quy trình sau đây xác minh chuỗi chứng chỉ, bắt đầu bằng chứng chỉ được xuất trình để xác thực -
Một khách hàng có tính xác thực đang được xác minh sẽ cung cấp chứng chỉ của anh ta, thường cùng với chuỗi chứng chỉ lên đến Root CA.
Người xác minh lấy chứng chỉ và xác thực bằng cách sử dụng khóa công khai của tổ chức phát hành. Khóa công khai của nhà phát hành được tìm thấy trong chứng chỉ của nhà phát hành nằm trong chuỗi bên cạnh chứng chỉ của khách hàng.
Bây giờ nếu CA cao hơn đã ký chứng chỉ của nhà phát hành, được người xác minh tin cậy, thì việc xác minh sẽ thành công và dừng lại ở đây.
Ngoài ra, chứng chỉ của tổ chức phát hành được xác minh theo cách tương tự như đã thực hiện cho khách hàng ở các bước trên. Quá trình này tiếp tục cho đến khi tìm thấy CA đáng tin cậy ở giữa hoặc nếu không nó sẽ tiếp tục cho đến khi Root CA.