BÀI 2

TỔNG QUAN VỀ PKI

Người ký: Lê Quang Huy

Email: lqhuy@bcy.gov.vn Giảng viên: TS. Lê Quang Huy
Cơ quan: Cục Chứng thực
số và Bảo mật thông tin, CỤC CHỨNG THỰC SỐ & BẢO MẬT THÔNG TIN
Ban Cơ yếu Chính phủ
Thời gian ký: 16.08.2022
08:00:44 -07:00
BAN CƠ YẾU CHÍNH PHỦ
16/08/2022 http://ca.gov.vn 1
 NỘI DUNG

1. ĐẶT VẤN ĐỀ

2. TỔNG QUAN VỀ PKI – HỆ THỐNG CHỨNG THỰC

3. TÓM TẮT

4. THẢO LUẬN

16/08/2022 http://ca.gov.vn 2
 1. ĐẶT VẤN ĐỀ

• 1.1. XÃ HỘI THÔNG TIN VÀ GIAO DỊCH ĐIỆN TỬ

• 1.2. AN TOÀN THÔNG TIN TẠI VIỆT NAM

• 1.3. NHÓM VẤN ĐỀ GÂY MẤT AN TOÀN THÔNG TIN

• 1.4. CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO CÁC GIAO DỊCH

• 1.5. VẤN ĐỀ CỦA MẬT MÃ BẤT ĐỐI XỨNG

• 1.6. SỰ CẦN THIẾT CÓ HẠ TẦNG PKI

16/08/2022 http://ca.gov.vn 3
 1.1. XÃ HỘI THÔNG TIN VÀ GIAO DỊCH ĐIỆN TỬ
XÃ HỘI CÔNG NGHIỆP XÃ HỘI THÔNG TIN
Giao dịch truyền thống Giao dịch điện tử

Mặt đối mặt Internet

16/08/2022 http://ca.gov.vn 4
 1.2. AN TOÀN THÔNG TIN TẠI VIỆT NAM

• Phát hiện hơn 100.000 mã độc.

• Tỷ lệ lây nhiễm: 300%/năm.
• Loại tấn công:
– Thay đổi giao diện (Deface),
– Cài mã độc (Malware)
– Lừa đảo (Phishing).
• Kiểu tấn công:
– Lỗ hổng bảo mật.
– Thói quen của người dùng.
• Xu hướng tấn công:
– dữ liệu người dùng (tống tiền, thông tin cá nhân);
– mã độc: điện thoại, thiết bị thông minh;
– hạ tầng trọng yếu CQNN.

16/08/2022 http://ca.gov.vn 5
 1.3. NHÓM VẤN ĐỀ GÂY MẤT AN TOÀN THÔNG TIN
Các vấn đề gây mất an toàn thông tin:
1. Ai đang giao dịch? (Xác thực)
2. Thông tin có bị xem trộm? (Bí mật)
3. Dữ liệu có bị sửa đổi ? (Toàn vẹn)
4. Chối bỏ hành động (Chống chối bỏ)

16/08/2022 http://ca.gov.vn 6
 1.4. CÁC GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO CÁC GIAO DỊCH

Dịch vụ Xác Toàn Chống

Bí mật
Giải pháp thực vẹn chối bỏ

Tên/Mật khẩu  X X X
Sinh trắc O X X X

Đối xứng X O O X
Các kỹ
thuật
mật mã Bất đối
O O O O
xứng

O - Mạnh,  - Trung bình, X - Không

16/08/2022 http://ca.gov.vn 7
 1.5. VẤN ĐỀ CỦA MẬT MÃ BẤT ĐỐI XỨNG

Vấn đề nảy sinh khi sử dụng mật mã bất đối

xứng (mật mã khóa công khai):
• Xác thực cặp khóa: ai là chủ sở hữu cặp
khóa đã thực hiện ký, mã dữ liệu.
• Chối bỏ hành động: chủ sở hữu cặp khóa có
thể chối bỏ việc mình đã thực hiện một
hành động (ký lên một tài liệu).
• Thu hồi cặp khóa: làm mất hiệu lực một
cặp khóa và thông báo với những người
khác có quan hệ giao dịch với mình.

16/08/2022 http://ca.gov.vn 8
 1.6. SỰ CẦN THIẾT CÓ HẠ TẦNG PKI
Vấn đề mật mã bất đối xứng Phương án giải quyết
Xác thực cặp khóa Thiết lập mối liên hệ (gắn kết) giữa tên người
dùng với cặp khóa

Chối bỏ hành động Bên thứ ba tin cậy chứng nhận cặp khóa thuộc
về một chủ thể.

Thu hồi cặp khóa Cơ chế loại bỏ cặp khóa và thông tin rộng rãi
đến cộng đồng.
Thiết lập chính sách chung Tổ chức và một hệ thống đi kèm
Cần thiết có một bên thứ ba tin cậy và một tổ chức với hệ thống kèm theo giải quyết
các vấn đề của mật mã khóa công khai (đưa mật mã áp dụng vào thực tiễn) hệ thống
đó gọi là hạ tầng khóa công khai hay hệ thống chứng thực điện tử (số)
16/08/2022 http://ca.gov.vn 9
 2. TỔNG QUAN VỀ PKI - CHỨNG THỰC
• 2.1. KHÁI NIỆM
• 2.2. KIẾN TRÚC PKI
• 2.3. CÁC THÀNH PHẦN CỦA PKI
• 2.4. CÁC DỊCH VỤ CỦA HẠ TẦNG PKI
• 2.5. CHỨNG THƯ SỐ, CRL
• 2.6. CÁC HOẠT ĐỘNG CHÍNH CỦA PKI
• 2.7. MÔ HÌNH HOẠT ĐỘNG CỦA PKI
• 2.8. ỨNG DỤNG CỦA PKI
• 2.9. MIỀN TIN CẬY VÀ MỞ RỘNG MIỀN PKI
• 2.10. CHUẨN VÀ ĐẶC TẢ VỀ PKI
• 2.11. LUẬT PHÁP VÀ CHÍNH SÁCH PKI
16/08/2022 http://ca.gov.vn 10
 2.1. KHÁI NIỆM

• Cơ sở hạ tầng: các bộ phận thiết bị phụ thuộc tạo thành một cơ sở của một hệ thống
hay các thiết bị cơ bản cố định của một nhà nước. Phân biệt khái niệm cơ sở hạ tầng
trong triết học.
• Đặc điểm hạ tầng:
– Lan tỏa rộng khắp (mạng điện, đường…), có thể sử dụng bất cứ khi nào.
– Hỗ trợ các ứng dụng (Trong suốt với người dùng, dễ nhận biết và sử dụng)
• Hạ tầng an ninh, an toàn mạng: các bộ phận phụ thuộc tạo thành cơ sở của hệ thống
an toàn mạng.
– Cung cấp các đặc điểm tương tự.
• Cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI) là một hạ tầng an
toàn, an ninh mạng, sử dụng các kỹ thuật mật mã khoá công khai nhằm cung cấp các
dịch vụ đảm bảo an toàn cho các giao dịch điện tử trên mạng.

16/08/2022 http://ca.gov.vn 11
 2.1. KHÁI NIỆM
• Hạ tầng mật mã hóa công khai: là một hệ thống hỗ trợ cho việc áp dụng mật mã khóa
công khai vào thực tiễn, nhằm đảm bảo an toàn cho các giao dịch điện tử trong môi
trường mạng.
• Mục tiêu chính của hạ tầng mật mã khóa công khai: cung cấp các dịch vụ nhằm đảm
bảo an toàn cho các giao dịch điện tử.
•

16/08/2022 http://ca.gov.vn 12
 2.1. KHÁI NIỆM

• Chứng thực: là việc chứng nhận một điều gì đó

là đúng thông qua một phương tiện cụ thể.
• Chứng thực điện tử (số): là việc một tổ chức có thẩm quyền
(tin cậy) sử dụng các công nghệ, kỹ thuật (mật mã)
chứng nhận một cặp khóa thuộc về một chủ thể xác định
thông qua phương tiện cụ thể (chứng thư số).
• Hệ thống chứng thực điện tử (số): là một hệ thống chứng
nhận và khẳng định một căp khóa thuộc về một chủ thể xác
định.
Người dùng sử dụng cặp khóa đã chứng thực để đảm bảo
an toàn cho các giao dịch điện tử trong môi trường mạng
• Mục tiêu chính của hệ thống chứng thực là tạo ra
các thực thể số được tin cậy, đối với những người dùng khác.

16/08/2022 http://ca.gov.vn 13
 2.2. KIẾN TRÚC PKI

PUBLIC KEY INFRASTRUCTURE

HẠ TẦNG
KHUNG PHÁP LÝ
KỸ THUẬT

VĂN BẢN LUẬT PHẦN CỨNG

PHẦN MỀM
VĂN BẢN
DƯỚI LUẬT
CON NGƯỜI

HỆ THỐNG
SP,CP VÀ CPS KỸ THUẬT MẬT MÃ

16/08/2022 http://ca.gov.vn 14
 2.3. CÁC THÀNH PHẦN CỦA PKI
• Mô hình hoạt động: Client – Server
– Hạ tầng - cung cấp dịch vụ: CA, RA, VA.
– Client - sử dụng dịch vụ: người dùng, thiết bị.
• Thẩm quyền chứng thực (Certification Authority - CA)
– Chức năng:
• Chứng thực cặp khóa thuộc hoặc không thuộc một thuê bao.
• Quản lý vòng đời của chứng thư số (cặp khóa) sau khi phát hành.
– Nhiệm vụ: Phát hành, gia hạn, tạm dừng/kích hoạt,
thu hồi chứng thư số, khôi phục cặp khóa, phát hành CRL.
• Thẩm quyền đăng ký (Registration Authority - RA)
– Xác định và xác thực: công việc quản lý (tiếp nhận, kiểm tra
và phê duyệt các yêu cầu cấp, thu hồi, gia hạn, tạm dừng,
khôi phục … chứng thư số, cặp khóa).
– Hỗ trợ người dùng cuối: tạo cặp khóa
quản lý người dùng, bàn giao kết quả chứng thực.
16/08/2022 http://ca.gov.vn 15
 2.3. CÁC THÀNH PHẦN CỦA PKI

• Thẩm quyền xác nhận (Validation Authority

- VA)
– Mục tiêu: Khẳng định tính hợp lệ và tin cậy của
chứng thư số (cặp khóa).
– Kho công cộng chứa chứng thư số và CRL
(LDAP), OCSP…
– Dịch vụ dấu thời gian: TimeStamp, …
• Thực thể cuối (client) – người dùng, thiết bị
– Người dùng, thiết bị, sử dụng
chứng thư số - relying party.
– Chủ thể sở hữu chứng thư số
(thuê bao) - subscriber.

16/08/2022 http://ca.gov.vn 16
 2.3. CÁC THÀNH PHẦN CỦA PKI

• Thẩm quyền chứng thực

(Certification Authority -
CA)
• Thẩm quyền đăng ký
(Registration Authority -
RA)
• Thẩm quyền xác nhận
(Validation Authority - VA)
• Thực thể cuối (client) –
người dùng, thiết bị.

16/08/2022 http://ca.gov.vn 17
 2.4. CÁC DỊCH VỤ CỦA HẠ TẦNG PKI
• Chứng thực:
– Chứng thực cặp khóa thuộc về một chủ thể: Chứng thư số.
– Chứng thực một cặp khóa không thuộc về một chủ thể: CRL.
• Khẳng định tính hợp lệ và tin cậy của các cặp khóa đã chứng thực:
– Kho chứng thư số: chứa tất cả các CTS, CRL do tổ chức
chứng thực tạo ra, điểm tin cậy của hệ thống.
– Dịch vụ kiểm tra trạng thái chứng thư số
trực tuyến OCSP.
• Dấu thời gian an toàn: tạo dấu thời gian
gắn kèm với dữ liệu thỏa mãn các tính chất
chính xác, xác thực và toàn vẹn.

16/08/2022 http://ca.gov.vn 18
 2.5. CHỨNG THƯ SỐ

• Khái niệm: Chứng thư số là một phương tiện

thông qua nó tổ chức chứng thực chứng nhận một - Tên thuê bao
cặp khóa thuộc về một chủ thể. - Khóa công khai
• Bản chất: Cấu trúc dữ liệu gắn các thông tin xác Mục đích
Thời hạn…
định chủ thể với một khóa công khai, được ký số
bởi cơ quan phát hành (Tổ chức chứng thực) và
lưu trữ dưới dạng 1 tập tin (file).
• Tạo ra chứng thư số giải quyết được vấn đề xác
thực cặp khóa và chống chối bỏ. Chữ ký của
• Khóa riêng: đặt trong thiết bị lưu khóa tổ chức
CA

c hứng thực

16/08/2022 http://ca.gov.vn 19
 2.6. CÁC HOẠT ĐỘNG CHÍNH CỦA PKI
• Chứng thực cặp khóa:
– Phát hành, tạo mới (Enrollments): người dùng gửi yêu cầu đăng ký, CA cấp chứng thư số cho thuê bao.

– Gia hạn (Renewal): thay đổi thời hạn sử dụng của chứng thư khi chứng thư hết hạn.

– Tạm dừng/khôi phục (Suspend/Active): treo/kích hoạt (tạm dừng/khôi phục) hiệu lực của chứng thư trong
một khoảng thời gian nhất định: tạm thời làm mất hiệu lực của chứng thư số.

– Thu hồi (Revocation): làm mất hiệu lực chứng thư trước khi hết hạn tự nhiên

• Sử dụng cặp khóa: người dùng sử dụng chứng thư số

để đảm bảo an toàn (xác thực, toàn vẹn, bí mật)
cho thông tin (dữ liệu), giao dịch điện tử.

16/08/2022 http://ca.gov.vn 20
 2.7. MÔ HÌNH HOẠT ĐỘNG CỦA PKI

• Chứng thực cặp

khóa: tạo/được cấp
chứng thư số.
• Sử dụng cặp khóa
đã chứng thực: ký
số, mã mật, xác
thực…

16/08/2022 http://ca.gov.vn 21
 2.8. ỨNG DỤNG CỦA PKI
Vấn đề an toàn Biện pháp Ứng dụng - PKI

Lộ lọt, đọc trộm Che giấu thông tin Mã mật

Sửa đổi, giả mạo Chống sửa đổi Chữ ký số

Chữ ký số được chứng

Xác định danh tính Xác thực
thực

Chữ ký số được chứng

Chối bỏ hành động Chống chối bỏ
thực
 2.8. ỨNG DỤNG CỦA PKI
ỨNG DỤNG KÝ SỐ

16/08/2022 http://ca.gov.vn 23
 2.8. ỨNG DỤNG CỦA PKI

ỨNG DỤNG MÃ MẬT

16/08/2022 http://ca.gov.vn 24
 2.8. ỨNG DỤNG CỦA PKI
ỨNG DỤNG XÁC THỰC, CHỐNG CHỐI BỎ

Ứng dụng xác thực của hệ Ứng dụng chống chối bỏ của
thống chứng thực số hệ thống chứng thực số
16/08/2022 http://ca.gov.vn 25
 2.8. ỨNG DỤNG CỦA PKI
Các ứng dụng dựa trên các ứng dụng nền tảng:
• Nhóm các dịch vụ chính phủ điện tử eGovernment:
• Các dịch vụ - G2G: hệ thống trao đổi tài liệu và văn bản điện tử, điều hành tác
nghiệp, hỗ trợ ra quyết định, hệ thống lưu trữ …
• Các dịch vụ - G2B: Hóa đơn , thuế, hải quan, cấp phép điện tử.
• Các dịch vụ - G2C: Bầu cử điện tử, hộ chiếu điện tử, chứng minh điện tử, …
• Nhóm các dịch vụ của doanh nghiệp - B2C, B2B, B2G
• Ngân hàng trực tuyến (Online Banking), Thanh toán trực tuyến, Tiền điện tử, ví
điện tử, Kinh doanh chứng khoán trực tuyến, Đấu thầu trực tuyến, Bảo hiểm trực
tuyến, Y tế, Giáo dục trực tuyến ….

16/08/2022 http://ca.gov.vn 26
 2.9. MIỀN TIN CẬY VÀ MỞ RỘNG MIỀN PKI
Khái niệm tin cậy (trust): là một phương diện trong mối quan hệ
giữa hai thực thể A và B. A tin cậy B khi A giả sử rằng B sẽ hành
động đúng như A mong đợi (X509 2000).

16/08/2022 http://ca.gov.vn 27
 2.9. MIỀN TIN CẬY VÀ MỞ RỘNG MIỀN PKI
• Miền tin cậy (trust domain): là một cộng đồng hoạt động dưới một điều khiển chung,
cùng tiêu chí, tuân theo cùng quy tắc, chính sách trong đó, các cá thể thiết lập được các
mối quan hệ, và mô hình hoạt động với một mức tin cậy cao nhất.
• Miền tin cậy PKI là tập hợp người dung tin cậy vào tổ chức chứng thực.
• Miền tin cậy PKI có thể được mở rộng bằng cách thiết lập các mối quan hệ tin cậy với
nhau thông qua các phương pháp mở rộng miền tin cậy.

16/08/2022 http://ca.gov.vn 28
 2.10 CHUẨN VÀ ĐẶC TẢ VỀ PKI
Các tổ chức chuẩn hóa về PKI chính trên thế giới gồm:
• ITU-T recommendations.
• PKIX - Internet RFCs
• PKCS.
Các lĩnh vực chuẩn hóa về PKI gồm:
• Chuẩn về mật mã.
• Khuôn dạng chứng thư số và danh sách thu hồi chứng thư (CRL).
• Các giao thức hoạt động: LDAP, HTTP, FTP, X500.
• Các giao thức quản lý: CMP, CMS
• Các chính sách: Chính sách chứng thư - Certificate Policy (CP) và quy chế
chứng thực - Certification Practice Statement (CPS).
• Các dịch vụ cấp dấu thời gian và chứng thực dữ liệu.

16/08/2022 http://ca.gov.vn 29
 2.11 LUẬT PHÁP VÀ CHÍNH SÁCH VỀ PKI

16/08/2022 http://ca.gov.vn 30
 3. TÓM TẮT

• Sự phát triển của các giao dịch điện tử nảy sinh các vấn đề về đảm bảo an toàn thông tin
cho các giao dịch đó. Mật mã là giải pháp đảm bảo an toàn thông tin tốt nhất trong giai
đoạn hiện nay. Hạ tầng PKI là giải pháp tổng thể đưa kỹ thuật mật mã vào thực tiễn
đảm bảo an toàn cho các giao dịch điện tử.

• Cơ sở hạ tầng khóa công khai – PKI (Hệ thống chứng thực điện tử): là một hệ thống
chứng nhận và khẳng định một căp khóa thuộc về một chủ thể xác định thông qua
phương tiện chứng thư số.

• Hạ tầng PKI hoạt động theo mô hình Client-Server cung cấp các dịch vụ cho người
dùng (cặp khóa đã chứng thực) để đảm bảo an toàn cho các giao dịch điện tử trong môi
trường mạng.

16/08/2022 http://ca.gov.vn 31
 4. THẢO LUẬN

16/08/2022 http://ca.gov.vn 32
 KẾT THÚC

16/08/2022 http://ca.gov.vn 33