Professional Documents
Culture Documents
Các Chuẩn Và Đặc Tả Về PKI
Các Chuẩn Và Đặc Tả Về PKI
Các Chuẩn Và Đặc Tả Về PKI
18/04/2023 http://ca.gov.vn 1
NỘI DUNG
18/04/2023 http://ca.gov.vn 2
1. CÁC LOẠI CHUẨN VỀ PKI
• Khái niệm: chuẩn (hình thức, thực tế) là điều kiện tiên quyết để các sản phẩm của
các nhà sản xuất khác nhau có thể hoạt động được với nhau.
Các tổ chức chuẩn hóa và đặc tả về PKI gồm:
• ITU-T recommendations – X serries.
• Internet Engineering Task Force (IETF) - Internet RFCs
• RSA Laboratories – PKCS
• Federal Information Processing Standard
• Common Criteria for Information Technology Security Evaluation
18/04/2023 http://ca.gov.vn 3
2. CÁC KHUYẾN NGHỊ CỦA ITU-T
18/04/2023 http://ca.gov.vn 4
2. CÁC KHUYẾN NGHỊ CỦA ITU-T
• X.208 - Abstract Syntax Notation 1 (ASN.1). ASN.1 là một ngôn ngữ trừu tượng
được sử dụng để miêu tả cấu trúc dữ liệu độc lập với máy và phương pháp thi hành.
VD cấu trúc dữ liệu của chứng thư số X.509
• X.209 - Basic Encoding Rules for ASN.1 mô tả cách mã hóa các cấu trúc dữ liệu
dạng ASN.1 sang dữ liệu nhị phân gọi là BER (Basic Encoding Rules). DER
(distinguished encoding rules) là một tập con của BER và được sử dụng trong việc
mã hóa cấu trúc dữ liệu chứng thư số X.509.
18/04/2023 http://ca.gov.vn 5
3. INTERNET RFCs
18/04/2023 http://ca.gov.vn 6
3.1. GIỚI THIỆU
• Internet Request for Comments (RFCs) là các chuẩn được định nghĩa bởi tổ chức
Internet Engineering Task Force (IETF).
• IETF đề xuất nhóm chuẩn PKIX (Public-Key Infrastructure X.509) là nhóm chuẩn về
PKI sử dụng chứng thư số theo chuẩn X.509 hoạt động trên môi trường Internet.
• Nhóm chuẩn PKIX được chấp nhận rộng rãi trong công nghiệp.
• https://datatracker.ietf.org/wg/pkix
18/04/2023 http://ca.gov.vn 7
3.1. GIỚI THIỆU
18/04/2023 http://ca.gov.vn 8
3.2. KHUÔN DẠNG CHỨNG THƯ SỐ VÀ CRL
• Chuẩn về khuôn dạng mô tả chi tiết các trường trong cấu trúc dữ liệu chứng thư số (v3)
và danh sách thu hồi chứng thư số (v2).
• RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List (CRL) Profile. 2008-05
• RFC 3739 - Internet X.509 Public Key Infrastructure: Qualified Certificates Profile.
2004-03.
• RFC 5755 - An Internet Attribute Certificate Profile for Authorization. 2010-01.
• RFC 6170 - Internet X.509 Public Key Infrastructure -- Certificate Image. 2011-05.
18/04/2023 http://ca.gov.vn 9
3.3. CHUẨN VỀ GIAO THỨC HOẠT ĐỘNG
• Các giao thức hoạt động cung công cụ giao vận bên dưới nhằm chuyên chở chứng thư
số, danh sách thu hồi chứng thư số, các thông tin quản lý và thông tin trạng thái đến các
thành phần khác nhau trong PKI. Mỗi giao thức có một tập các thủ tục, yêu cầu tương
tác riêng xác định theo các chuẩn:
• RFC 2585 - Internet X.509 Public Key Infrastructure Operational Protocols: FTP and
HTTP. 1999-05
• RFC 3494 - Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2.
2003-03.
• RFC 4387 - Internet X.509 Public Key Infrastructure Operational Protocols: Certificate
Store Access via HTTP. 2006-02.
18/04/2023 http://ca.gov.vn 10
3.4. CHUẨN VỀ GIAO THỨC QUẢN LÝ
18/04/2023 http://ca.gov.vn 11
3.5. CHUẨN VỀ CHÍNH SÁCH.
18/04/2023 http://ca.gov.vn 12
3.6. CẤP DẦU THỜI GIAN VÀ CHỨNG THỰC DỮ LIỆU
• Các dịch vụ dấu thời gian và chứng thực dữ liệu được xây dựng bên trên các dịch vụ cơ
bản của PKI. Dịch vụ chứng thực dữ liệu kiểm tra tính chính xác của dữ liệu gửi tới nó.
Dịch vụ này gần giống như dịch vụ công chứng.
• RFC 3161 - Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).
2001-08
• RFC 3628 - Policy Requirements for Time-Stamping Authorities (TSAs). 2003-11.
• RFC 5816 - ESSCertIDv2 Update for RFC 3161. 2010-04.
18/04/2023 http://ca.gov.vn 13
4. PKCS
18/04/2023 http://ca.gov.vn 14
4.1. GIỚI THIỆU
• Public-Key Cryptography Standards (PKCS) là tập các đặc tả được đưa ra bởi RSA
Laboratories kết hợp với các nhà phát triển các hệ thống an toàn trên khắp thế giới cho
mục đích tăng tốc sự phát triển của mật mã khóa công khai.
• PKCS là chuẩn không chính thức nhưng được chấp thuận rộng rãi trong công nghiệp
một số được công bố bởi IETF (RFC).
18/04/2023 http://ca.gov.vn 15
4.2. HỌ CHUẨN PKCS
• PKCS #1 RSA Encryption Standard là chuẩn về cài đặt mật mã khóa công khai dựa trên
giải thuật RSA. Nội dung của chuẩn PKCS #1 bao gồm:
– Cryptographic primitives
– Encryption schemes
– Signature schemes with appendix
– ASN.1 syntax for representing keys and for identifying the schemes
• PKCS#1 đưa vào RFC 3447.
• PKCS #3 Diffie-Hellman Key Agreement Standard: định nghĩa giao thức trao đổi khóa
bí mật sử dụng giải thuật Diffie-Hellman
18/04/2023 http://ca.gov.vn 16
4.2. HỌ CHUẨN PKCS
• PKCS #5 Password-Based Encryption Standard; cung cấp khuyến nghị cho việc cài đặt
mật mã dựa trên mật khẩu bao gồm:
– key derivation functions
– encryption schemes
– message-authentication schemes
– ASN.1 syntax identifying the techniques.
• PKCS #5 RFC 2898
• PKCS #6 Extended-Certificate Syntax Standard: định nghĩa khuôn dạng mở rộng của
chứng thư số X509, phần mở rộng đã được đưa vào khuôn dạng chứng thư số X509 v3.
18/04/2023 http://ca.gov.vn 17
4.2. HỌ CHUẨN PKCS
• PKCS #7 Cryptographic Message Syntax Standard: định nghĩa cú pháp, khuôn dạng
cho một vài loại thông điệp dữ liệu được bảo vệ bằng mật mã (ký, mã).
• PKCS #8: Private-Key Information Syntax Standard: mô tả cú pháp các thông tin của
khóa bí mật (thuật toán, thuộc tính).
• PKCS #9: Selected Attribute Types: định nghĩa các kiểu thuộc tính được lựa chọn sử
dụng trong chứng thư số PKCS #6, thông điệp dữ liệu được ký số PKCS #7, thông tin
về khóa PKCS #8, yêu cầu ký chứng thư PKCS #10.
• PKCS #10: Certification Request Syntax Standard: chuẩn mô tả các cú pháp cho các
yêu cầu chứng thực khóa công khai gồm khóa công khai và một tập các thuộc tính khác.
18/04/2023 http://ca.gov.vn 18
4.2. HỌ CHUẨN PKCS
• PKCS #11: Cryptographic Token Interface Standard: mô tả một API, gọi là CryptoKi,
cho các thiết bị lưu giữ các thông tin mật mã và thực hiện các chức năng mật mã.
Cryptoki giải quyết mục tiêu độc lập công nghệ và chia sẻ tài nguyên, dưa đến cho các
ứng dụng một cái nhìn chung và logic về thiết bị gọi là token mật mã.
• PKCS #12: Personal Information Exchange Syntax Standard: chuẩn mô tả khuôn dạng
khả chuyển cho việc lưu trữ và vận chuyển khóa (bí mật/riêng) của người dùng, chứng
thư số và những điều bí mật khác.
18/04/2023 http://ca.gov.vn 19
4.2. HỌ CHUẨN PKCS
• PKCS #13: Elliptic Curve Cryptography Standard: (đang phát triển) chuẩn giải quyết
các khía cạnh về mật mã đường cong eliptic như: các tham số, sinh và kiểm tra khóa,
chữ ký số, mã hóa khóa công khai, thỏa thuận khóa và cú pháp ASN1.
• PKCS #15: Cryptographic Token Information Format Standard: thiết lập chuẩn cho
phép người dùng sử dụng token mật mã để xác định chính mình tới nhiều phần mềm
biết chuẩn mà không quan tâm tới các ứng dụng của nhà cung cấp cryptoKi
18/04/2023 http://ca.gov.vn 20
5. TÓM TẮT
18/04/2023 http://ca.gov.vn 21
6. THẢO LUẬN
18/04/2023 http://ca.gov.vn 22
KẾT THÚC
18/04/2023 http://ca.gov.vn 23