PKI và vòng đời của chứng thư số

Thực

New Member
15/06/2020
5
2 bài viết
PKI và vòng đời của chứng thư số
Ở bài viết lần trước chúng ta đã tìm hiểu về chứng thư số và thấy có xuất hiện một khái niệm đó là PKI. Vậy PKI là gì? và vòng đời của chứng thư số như thế nào? Chúng ta cùng tìm hiểu trong bài viết này nhé.

anh sua bai chu ky so.png

PKI là gì?
Hạ tầng khóa công khai, public key infrastructure (PKI) là cơ chế bảo mật cho một bên thứ 3 (thường là nhà cung cấp chứng thư số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. PKI cho phép người dùng internet có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng cặp khóa private key và public key được cấp chứng nhận bởi nhà cung cấp chứng thư số CA.
Những thành phần cơ bản của PKI:

1.png
Một PKI hoàn chỉnh gồm những thành phần cơ bản sau:
  • Certification Authority – Cơ quan chứng nhận (CA): Thực hiện nhiệm vụ phát hành, quản lý và thu hồi chứng thư số là thực thể quan trọng trong một PKI
  • Registration Authority – Cơ quan đăng ký (RA): Đảm nhiệm xác thực cá nhân, tổ chức đăng kí chứng thư số; kiểm tra tính chính xác của thông tin do cá nhân, tổ chức cung cấp
  • Certificate Repository – Kho lưu trữ chứng thư số (CR): Đảm nhiệm công việc lưu trữ chứng thư số
  • Certificate Policy – Chính sách về chứng thư số (CP): Là chính sách chỉ ra những phạm vi sử dụng của một chứng thư số. Certificate policy đóng vai trò quan trọng, nó giống như lời hứa của nhà cung cấp dịch vụ dành cho khách hàng để họ có thể yên tâm rằng quyền lợi của họ được đảm bảo.
  • Certification Practice Statement – Thủ tục chứng nhận (CPS): Là quy định về các thủ tục trong việc ban hành chứng thư số. Ví dụ như thủ tục quản lý chứng thư số bao gồm việc công bố và lưu trữ, thu hồi, cấp mới hay thay đổi cặp khóa.
  • PKI Applications – Ứng dụng PKI: Bao gồm người sử dụng các dịch vụ PKI và các phần mềm hỗ trợ cài đặt sử dụng chứng thư số như các trình duyệt web, các ứng dụng Email chạy bên client.
Như đã nói ở trên PKI cho phép người dùng internet có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng cặp khóa private key và public key.

Vòng đời của khóa như như thế nào?
2.png
  1. Generating – Tạo khóa: Là công việc quan trọng trong việc duy trì sự tin cậy, mức độ an toàn của khóa phụ thuộc vào yêu cầu tạo khóa và môi trường tạo khóa.
  2. Archiving – Cất giữ khóa: Sau khi tạo, khóa sẽ lưu trữ ở tổ chức CA và được sử dụng trong dịch vụ khôi phục khóa
  3. Distributing – Phân Phối: Sau khi tạo khóa, khóa được chuyển tiếp vào thiết bị lưu trữ, private key sẽ được lưu trong token – thiết bị phần cứng bảo mật, public key sẽ gửi đến cơ quan chứng nhận CA để tạo chứng thư số
  4. Storing – Lưu trữ khóa: Sau đó khóa được lưu trong một thiết bị phần cứng an toàn. Thiết bị lưu trữ có thể là Token hoặc Smart Card
  5. Using – Sử dụng khóa: Người dùng sử dụng cặp khóa lưu trong token để kí văn bản hoặc dữ liệu
  6. Recovering – Khôi phục khóa: Do mất khóa, người dùng sẽ gửi yêu cầu lên cơ quan chứng nhận CA đề nghị yêu cầu khôi phục khóa
  7. Updating – Cập nhật khóa: Khóa tồn tại trong một khoảng thời gian dài sẽ giảm khả năng an toàn nên phải cập nhật khóa sau một khoảng thời gian
  8. Destroying – Hủy khóa: Khi khóa bị lộ hoặc có nguy cơ mất an toàn sẽ thực hiện hủy khóa để đảm bảo an toàn
Vòng đời của chứng thư số như thế nào?
3.png
  1. User registration – Người dùng đăng ký: Đầu tiên người dùng sẽ làm thủ tục đăng kí chứng thư số với cơ quan đăng kí.
  2. Request generation – Yêu cầu tạo chứng thư số: Là một đoạn text để gửi cho CA yêu cầu tạo chứng thư số.
  3. Request verification – Xác minh yêu cầu chứng thư số: Tiếp theo cơ quan chứng nhận CA sẽ tiến hành xác minh thông tin trong yêu cầu chứng thư số bằng cách giải mã và so sánh thông tin, nếu thông tin chính xác sẽ phát hành chứng thư số.
  4. Certificate issue – Phát hành chứng thư số: Sau khi xác minh thông tin là chính xác thì cơ quan chứng nhận sẽ dùng private key CA kí lên chứng thư số, để chứng nhận rằng chứng thư số này do CA cấp.
  5. Distribution – Phân phối chứng thư số: Sau khi phát hành chứng thư số sẽ được phân phối tới cơ quan đăng ký (RA) và kho lưu trữ chứng thư số (CR).
  6. Storing – Lưu trữ chứng thư số: Chứng thư số được gửi tới người dùng và lưu trong thiết bị phần cứng an toàn token.
  7. Use – Sử dụng chứng thư số: Người dùng sử dụng chứng thư số để đính kèm vào văn bản sau khi đã kí số.
  8. Holding, Renewal – Tạm giữ, cấp lại chứng thư số: Tạm giữ chứng thư số là việc thu hồi chứng thư số trong một khoảng thời gian xác định. Cấp lại chứng thư số là quá trình cấp lại chứng thư chỉ thay đổi hạn sử dụng.
  9. Update – Cập nhật chứng thư số: Cập nhật là quá trình ban hành chứng thư số mới với cặp khóa mới, cập nhật lại chứng thư số khi có sự thay đổi về khóa hoặc thay đổi thông tin chứng thư số.
  10. Revocation – Thu hồi chứng thư số: Là một trong những dịch vụ quan trọng, yêu cầu thu hồi do người dùng hoặc tổ chức có thẩm quyền yêu cầu. Một số lý do thu hồi như: Người dùng gửi yêu cầu kết thúc, thông tin trong chứng thư sai khác so với thực tế.
Trên đây là bài viết giới thiệu khái niệm, thành phần PKI, vòng đời của khóa và chứng thư số. Ở bài viết tiếp theo chúng ta cùng tìm hiểu chứng thư số có những loại nào? CRL và OCSP là gì?
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: Twentieth
có tài liệu về hệ thống PKI mã nguồn mở OpenXPKI không ạ ? Cho em xin đươc không ?
Và cách triển khai OpenXPKI trong bảo mật dịch vụ thư điện tử???
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
có tài liệu về hệ thống PKI mã nguồn mở OpenXPKI không ạ ? Cho em xin đươc không ?
Và cách triển khai OpenXPKI trong bảo mật dịch vụ thư điện tử???
Về tài liệu hệ thống OPENXPKI thì bạn có thể tham khảo tại http://openxpki.readthedocs.io/en/latest/. Trong đó có đầy đủ tài liệu cài đặt hệ thống, mô tả về các API,.. Về cách triển khai trong bảo mật dịch vụ thư điện tử thì không biết bạn đang sử dụng dịch vụ thư điện tử nào nhỉ ? Bạn có thể tìm hiểu về S/MIME email security xem sao.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
chứng thư số pki
Bên trên