Chữ ký số và Chứng thư số
Ở bài viết trước chúng ta đã tìm hiểu về chữ ký số, trong quy trình tạo ra chữ ký số chúng ta có thể thấy sự xuất hiện một khái niệm đó là chứng thư số. Vậy chứng thư số là gì? Chúng ta sẽ tìm hiểu trong bài viết này.
Chứng thư số tuân theo chuẩn X509 nên cấu trúc một chứng thư số có dạng như sau :
Trong chứng thư số có ba thành phần chính:
- Version: Cho biết phiên bản của chuẩn X.509.
- Serial Number: Số nhận dạng của chứng chỉ số do người/tổ chức có thẩm quyền,tin cậy cấp và là duy nhất đối với mỗi chứng chỉ.
- Subject: Thông tin nhận dạng một cá nhân hoặc một tổ chức sở hữu chứng thư số.
- Signature Algorith: Tên của giải thuật tạo chữ ký mà tổ chức cấp chứng thư số dùng để ký lên chứng thư số đó.
- Signature Hash Algorithm: Giải thuật tạo chuỗi băm cho tạo chữ ký.
- Signature: Chữ ký của cá nhân/tổ chức cấp chứng thư số.Trường giá trị này giúp nhà cung cấp chứng thư số xác minh được chứng thư số đó có phải do tổ chức đó cấp và các thông tin trong chứng thư số có chính xác hay không.
Để xem trường giá trị này dùng Keystore Explorer để mở file chứng thư số, chọn ASN.1 :
- Issuer: Người/tổ chức có thẩm quyền,tin cậy cấp chứng thư số.
- Valid-From: Ngày bắt đầu có hiệu lực của chứng thư số.
- Valid-To: Ngày hết hạn sử dụng chứng thư số.
- Public Key: Khóa công khai của chủ thể cùng thuật toán để tạo ra chúng.
- Certificate Extensions: Kể từ X509 vesion 3 có bổ sung thêm các extension
+ Authority Information Access:
Extension này cho biết một hoặc nhiều URL dẫn tới chứng chỉ của nhà cấp chứng thư số.
+ Subject Key Identifier: Extension này chứa giá trị được tạo ra từ khóa công khai của chủ thể chứng thư số và một hàm băm nào đó (ví dụ SHA-1).
+ Authority Key Identifier: Extension này có thể chứa một hoặc hai giá trị, chúng có thể là: Subject Name của CA và Serial Number của chứng chỉ của CA mà đã cấp phát chứng chỉ này hoặc là giá trị băm của khóa công khai của chứng chỉ của CA mà đã cấp phát chứng chỉ này.
+ Basic Constraints: Extension này cho biết chứng chỉ có phải của CA hay của các chủ thể như người dùng, máy tính, thiết bị, dịch vụ.
+ CRL Distribution Points: Extension này chứa một hoặc nhiều URL dẫn tới tập tin chứa danh sách các chứng chỉ đã bị thu hồi (CRL) được phát hành bởi CA. Nếu việc kiểm tra trạng thái thu hồi của chứng chỉ được cho phép thì một ứng dụng sẽ sử dụng các URL này để tải về phiên bản cập nhật của CRL. Các URL có thể sử dụng một trong các giao thức như HTTP, LDAP, FTP, File.
+ Certificate Policies: Extension này mô tả các chính sách và thủ tục được dùng để xác minh chủ thể của chứng chỉ trước khi chứng chỉ được cấp phát. Các chính sách chứng chỉ được đại diện bởi các OID. Ngoài ra, một chính sách chứng chỉ có thể bao gồm một đường dẫn (URL) tới trang web mô tả nội dung của chính sách và thủ tục.
+ Subject Alternative Name: Extension này cung cấp một danh sách các tên thay thế cho chủ thể của chứng chỉ. Trong khi định dạng cho Subject Name thường tuân theo chuẩn X.500 thì Subject Alternative Name cho phép thể hiện theo các dạng khác như địa chỉ email, địa chỉ IP hoặc tên miền (DNS).
+ Enhanced Key Usage: Extension này cho biết khóa công khai của chứng chỉ có thể được sử dụng như thế nào. Những cái này không có trong extension Key Usage. Ví dụ, Client Authentication (có OID là 1.3.6.1.5.5.7.3.2), Server Authentication (có OID là 1.3.6.1.5.5.7.3.1), và Secure E-mail (có OID là 1.3.6.1.5.5.7.3.4). Khi ứng dụng nhận được một chứng chỉ, nó có thể yêu cầu sự có mặt của một OID trong các OID kể trên.
Hình: So sánh chữ ký số và chứng thư số
Chữ ký số có chức năng và hiệu lực tương tự như chữ ký tay truyền thống, đó xác nhận lời cam kết của một cá nhân hay một tổ chức. Cá nhân hay tổ chức một khi đã ký phải chịu trách nhiệm cho mọi lời cam kết trên văn bản đã ký, khi muốn rút lại thì cũng cần thực hiện văn bản hủy tương tự như quy tắc thông thường.
Chứng thư số là một loại chứng thư điện tử, có chức năng và hiệu lực tương đương với chứng minh thư nhân dân hoặc hộ chiếu trên nền tảng số. Chứng thư số được sử dụng trong môi trường máy tính và internet với vai trò xác nhận danh tính hợp pháp của một cá nhân hoặc một tổ chức.
Có thể thấy đây là hai định dạng điện tử khác nhau.Mặc dù vậy nhưng chứng thư số và chữ ký số hỗ trợ lẫn nhau. Hiểu đơn giản, chứng thư số là thông tin cơ sở để xác nhận chữ ký điện tử có đúng, có hợp lệ hay không; còn chữ ký số là để xác nhận thông tin cho một văn bản, cam kết.
Trên đây là bài viết giới thiệu về khái niệm, thành phẩn của chứng thư số và sự khác nhau giữa chứng thư số và chữ ký số. Ở bài viết tiếp theo chúng ta sẽ tìm hiểu về cách tạo ra chứng thư số và vòng đời của một chứng thư số.
Chứng thư số là gì?
Chứng thư số là một cấu trúc dữ liệu chứa các thông tin về chủ sở hữu để định danh cho một đối tượng tham gia vào hệ thống PKI. Chứng thư số có thể được coi là “chứng minh thư” để sử dụng trong môi trường internet. Chứng thư số được sử dụng để nhận diện một cá nhân, một máy chủ, hay là một vài đối tượng khác và được cấp bởi những tổ chức có thẩm quyền xác định nhận danh và cấp chứng thư số.Chứng thư số tuân theo chuẩn X509 nên cấu trúc một chứng thư số có dạng như sau :
Trong chứng thư số có ba thành phần chính:
- Dữ liệu cá nhân của người được cấp.
- Khoá công khai (Public key) của người được cấp.
- Chữ ký số của tổ chức cấp chứng thư.
Hình: Chứng thư số minh họa
Hình: Các thành phần cơ bản của chứng thư số
Chứng thư số gồm các trường chính sau:
- Version: Cho biết phiên bản của chuẩn X.509.Để xem trường giá trị này dùng Keystore Explorer để mở file chứng thư số, chọn ASN.1 :
- Valid-From: Ngày bắt đầu có hiệu lực của chứng thư số.
- Valid-To: Ngày hết hạn sử dụng chứng thư số.
- Public Key: Khóa công khai của chủ thể cùng thuật toán để tạo ra chúng.
+ Authority Information Access:
Extension này cho biết một hoặc nhiều URL dẫn tới chứng chỉ của nhà cấp chứng thư số.
+ Subject Key Identifier: Extension này chứa giá trị được tạo ra từ khóa công khai của chủ thể chứng thư số và một hàm băm nào đó (ví dụ SHA-1).
+ Authority Key Identifier: Extension này có thể chứa một hoặc hai giá trị, chúng có thể là: Subject Name của CA và Serial Number của chứng chỉ của CA mà đã cấp phát chứng chỉ này hoặc là giá trị băm của khóa công khai của chứng chỉ của CA mà đã cấp phát chứng chỉ này.
+ Basic Constraints: Extension này cho biết chứng chỉ có phải của CA hay của các chủ thể như người dùng, máy tính, thiết bị, dịch vụ.
- Key Usage: Một CA, người dùng, máy tính, thiết bị mạng hoặc dịch vụ có thể sở hữu nhiều hơn một chứng chỉ. Extension này định nghĩa các dịch vụ bảo mật mà một chứng chỉ có thể cung cấp như:
- Digital Signature : khóa công khai có thể được dùng để kiểm tra chữ ký. Khóa này cũng được sử dụng để xác thực máy khách và xác minh nguồn gốc của dữ liệu.
- Non-Repudiation: Khóa công khai có thể được dùng để xác minh nhận dạng của người ký, ngăn chặn người ký này từ chối rằng họ không hề ký lên thông điệp hoặc đối tượng nào đó.
- Encipher only: Giá trị này được dùng kết hợp với các extension Key Agreement và Key Usage. Kết quả là khóa đối xứng chỉ có thể được dùng để mã hóa dữ liệu.
- Decipher only: Giá trị này được dùng kết hợp với các extension Key Agreement và Key Usage. Kết quả là khóa đối xứng chỉ có thể được dùng để giải mã dữ liệu.
- CRL signing: Khóa công khai có thể được dùng để kiểm tra chữ ký của CRL (danh sách chứa các chứng chỉ bị thu hồi).
- Certificate signing: Sử dụng để xác minh chữ ký trên chứng chỉ. Phần mở rộng này chỉ có thể được sử dụng trong chứng chỉ CA.
+ Certificate Policies: Extension này mô tả các chính sách và thủ tục được dùng để xác minh chủ thể của chứng chỉ trước khi chứng chỉ được cấp phát. Các chính sách chứng chỉ được đại diện bởi các OID. Ngoài ra, một chính sách chứng chỉ có thể bao gồm một đường dẫn (URL) tới trang web mô tả nội dung của chính sách và thủ tục.
+ Subject Alternative Name: Extension này cung cấp một danh sách các tên thay thế cho chủ thể của chứng chỉ. Trong khi định dạng cho Subject Name thường tuân theo chuẩn X.500 thì Subject Alternative Name cho phép thể hiện theo các dạng khác như địa chỉ email, địa chỉ IP hoặc tên miền (DNS).
+ Enhanced Key Usage: Extension này cho biết khóa công khai của chứng chỉ có thể được sử dụng như thế nào. Những cái này không có trong extension Key Usage. Ví dụ, Client Authentication (có OID là 1.3.6.1.5.5.7.3.2), Server Authentication (có OID là 1.3.6.1.5.5.7.3.1), và Secure E-mail (có OID là 1.3.6.1.5.5.7.3.4). Khi ứng dụng nhận được một chứng chỉ, nó có thể yêu cầu sự có mặt của một OID trong các OID kể trên.
Chứng thư số và chữ ký số khác nhau như thế nào ?
Hình: So sánh chữ ký số và chứng thư số
Chữ ký số có chức năng và hiệu lực tương tự như chữ ký tay truyền thống, đó xác nhận lời cam kết của một cá nhân hay một tổ chức. Cá nhân hay tổ chức một khi đã ký phải chịu trách nhiệm cho mọi lời cam kết trên văn bản đã ký, khi muốn rút lại thì cũng cần thực hiện văn bản hủy tương tự như quy tắc thông thường.
Chứng thư số là một loại chứng thư điện tử, có chức năng và hiệu lực tương đương với chứng minh thư nhân dân hoặc hộ chiếu trên nền tảng số. Chứng thư số được sử dụng trong môi trường máy tính và internet với vai trò xác nhận danh tính hợp pháp của một cá nhân hoặc một tổ chức.
Có thể thấy đây là hai định dạng điện tử khác nhau.Mặc dù vậy nhưng chứng thư số và chữ ký số hỗ trợ lẫn nhau. Hiểu đơn giản, chứng thư số là thông tin cơ sở để xác nhận chữ ký điện tử có đúng, có hợp lệ hay không; còn chữ ký số là để xác nhận thông tin cho một văn bản, cam kết.
Trên đây là bài viết giới thiệu về khái niệm, thành phẩn của chứng thư số và sự khác nhau giữa chứng thư số và chữ ký số. Ở bài viết tiếp theo chúng ta sẽ tìm hiểu về cách tạo ra chứng thư số và vòng đời của một chứng thư số.
Chỉnh sửa lần cuối bởi người điều hành: