BÀI 9

CÁC CHUẨN VÀ ĐẶC TẢ VỀ PKI

Giảng viên: TS. Lê Quang Huy

18/04/2023 http://ca.gov.vn 1
 NỘI DUNG

1. CÁC LOẠI CHUẨN VỀ PKI

2. CÁC KHUYẾN NGHỊ CỦA ITU-T.
3. INTERNET RFCs
4. PKCS
5. TÓM TẮT
6. THẢO LUẬN

18/04/2023 http://ca.gov.vn 2
 1. CÁC LOẠI CHUẨN VỀ PKI

• Khái niệm: chuẩn (hình thức, thực tế) là điều kiện tiên quyết để các sản phẩm của
các nhà sản xuất khác nhau có thể hoạt động được với nhau.
Các tổ chức chuẩn hóa và đặc tả về PKI gồm:
• ITU-T recommendations – X serries.
• Internet Engineering Task Force (IETF) - Internet RFCs
• RSA Laboratories – PKCS
• Federal Information Processing Standard
• Common Criteria for Information Technology Security Evaluation

18/04/2023 http://ca.gov.vn 3
 2. CÁC KHUYẾN NGHỊ CỦA ITU-T

• International Telecommunications Union-Telecommunications (ITU-T), trước

đây gọi là CCITT, đưa ra các khuyến nghị (ký hiệu bắt đầu bởi X).
• Mục tiêu của các khuyến nghị (recommendation) X là chuẩn hóa mạng dữ liệu
và truyền thông giữa các hệ thống mở.
• X.500 Information Technology - Open Systems Interconnection - The Directory:
Overview of concepts, models and services. X.500 là khuyến nghị cấp cao nhất
về dịch vụ chỉ dẫn.
• X.509 Information Technology - Open Systems Interconnection – The Directory:
Authentication framework. X.509, 1988 (v1), 1996 v3, được định nghĩa tập trung
vào khuôn khổ xác thực sử dụng dịch vụ danh bạ (directory). Chứng thư số được
định nghĩa trong X.509 sau này được tập trung chuẩn hóa cho PKI.

18/04/2023 http://ca.gov.vn 4
 2. CÁC KHUYẾN NGHỊ CỦA ITU-T
• X.208 - Abstract Syntax Notation 1 (ASN.1). ASN.1 là một ngôn ngữ trừu tượng
được sử dụng để miêu tả cấu trúc dữ liệu độc lập với máy và phương pháp thi hành.
VD cấu trúc dữ liệu của chứng thư số X.509
• X.209 - Basic Encoding Rules for ASN.1 mô tả cách mã hóa các cấu trúc dữ liệu
dạng ASN.1 sang dữ liệu nhị phân gọi là BER (Basic Encoding Rules). DER
(distinguished encoding rules) là một tập con của BER và được sử dụng trong việc
mã hóa cấu trúc dữ liệu chứng thư số X.509.

18/04/2023 http://ca.gov.vn 5
 3. INTERNET RFCs

• 3.1. GIỚI THIỆU

• 3.2. KHUÔN DẠNG CHỨNG THƯ SỐ VÀ CRL

• 3.3. CHUẨN VỀ GIAO THỨC HOẠT ĐỘNG

• 3.4. CHUẨN VỀ GIAO THỨC QUẢN LÝ

• 3.5. CHUẨN VỀ CHÍNH SÁCH.

• 3.6. CẤP DẦU THỜI GIAN VÀ CHỨNG THỰC DỮ LIỆU

18/04/2023 http://ca.gov.vn 6
 3.1. GIỚI THIỆU

• Internet Request for Comments (RFCs) là các chuẩn được định nghĩa bởi tổ chức
Internet Engineering Task Force (IETF).
• IETF đề xuất nhóm chuẩn PKIX (Public-Key Infrastructure X.509) là nhóm chuẩn về
PKI sử dụng chứng thư số theo chuẩn X.509 hoạt động trên môi trường Internet.
• Nhóm chuẩn PKIX được chấp nhận rộng rãi trong công nghiệp.
• https://datatracker.ietf.org/wg/pkix

18/04/2023 http://ca.gov.vn 7
 3.1. GIỚI THIỆU

Các lĩnh vực chuẩn và đặc tả về PKIX gồm:

• Khuôn dạng chứng thư số và danh sách thu hồi chứng thư (CRL).
• Các giao thức hoạt động: LDAP, HTTP, FTP, X500.
• Các giao thức quản lý: CMP, CMS.
• Chính sách phát hành chứng thư - Certificate Policy (CP) và quy chế chứng thực -
Certification Practice Statement (CPS).
• Các dịch vụ cấp dấu thời gian và chứng thực dữ liệu.

18/04/2023 http://ca.gov.vn 8
 3.2. KHUÔN DẠNG CHỨNG THƯ SỐ VÀ CRL

• Chuẩn về khuôn dạng mô tả chi tiết các trường trong cấu trúc dữ liệu chứng thư số (v3)
và danh sách thu hồi chứng thư số (v2).
• RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate
Revocation List (CRL) Profile. 2008-05
• RFC 3739 - Internet X.509 Public Key Infrastructure: Qualified Certificates Profile.
2004-03.
• RFC 5755 - An Internet Attribute Certificate Profile for Authorization. 2010-01.
• RFC 6170 - Internet X.509 Public Key Infrastructure -- Certificate Image. 2011-05.

18/04/2023 http://ca.gov.vn 9
 3.3. CHUẨN VỀ GIAO THỨC HOẠT ĐỘNG

• Các giao thức hoạt động cung công cụ giao vận bên dưới nhằm chuyên chở chứng thư
số, danh sách thu hồi chứng thư số, các thông tin quản lý và thông tin trạng thái đến các
thành phần khác nhau trong PKI. Mỗi giao thức có một tập các thủ tục, yêu cầu tương
tác riêng xác định theo các chuẩn:
• RFC 2585 - Internet X.509 Public Key Infrastructure Operational Protocols: FTP and
HTTP. 1999-05
• RFC 3494 - Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2.
2003-03.
• RFC 4387 - Internet X.509 Public Key Infrastructure Operational Protocols: Certificate
Store Access via HTTP. 2006-02.

18/04/2023 http://ca.gov.vn 10
 3.4. CHUẨN VỀ GIAO THỨC QUẢN LÝ

• Các giao thức quản lý hỗ trợ

• truyền các yêu cầu và thông tin quản lý giữa các thực thể cuối với các thực thể quản lý
• truyền thông giữa các thực thể quản lý.
• Giao thức có thể chuyên chở các yêu cầu và các đáp ứng tương ứng trong việc đăng ký,
các thông tin trạng thái. Giao thức quản lý cũng định nghĩa các khuôn dạng thông điệp,
nội dung thông tin trong thông điệp được gửi và nhận giữa các thực thể quản lý và thực
thể cuối.
• RFC 4210 - Internet X.509 Public Key Infrastructure Certificate Management Protocol
(CMP). 2005-09.
• RFC 4211 - Internet X.509 Public Key Infrastructure Certificate Request Message
Format (CRMF). 2005-09.
• RFC 5272 - Certificate Management over CMS (CMC). 2008-06.

18/04/2023 http://ca.gov.vn 11
 3.5. CHUẨN VỀ CHÍNH SÁCH.

• Quy định 2 loại chính sách CP và CPS

• RFC 3647 - Internet X.509 Public Key Infrastructure Certificate Policy and
Certification Practices Framework. 2003-11.

18/04/2023 http://ca.gov.vn 12
 3.6. CẤP DẦU THỜI GIAN VÀ CHỨNG THỰC DỮ LIỆU

• Các dịch vụ dấu thời gian và chứng thực dữ liệu được xây dựng bên trên các dịch vụ cơ
bản của PKI. Dịch vụ chứng thực dữ liệu kiểm tra tính chính xác của dữ liệu gửi tới nó.
Dịch vụ này gần giống như dịch vụ công chứng.

• RFC 3161 - Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP).
2001-08
• RFC 3628 - Policy Requirements for Time-Stamping Authorities (TSAs). 2003-11.
• RFC 5816 - ESSCertIDv2 Update for RFC 3161. 2010-04.

18/04/2023 http://ca.gov.vn 13
 4. PKCS

• 4.1. GIỚI THIỆU

• 4.2. HỌ CHUẨN PKCS

18/04/2023 http://ca.gov.vn 14
 4.1. GIỚI THIỆU

• Public-Key Cryptography Standards (PKCS) là tập các đặc tả được đưa ra bởi RSA
Laboratories kết hợp với các nhà phát triển các hệ thống an toàn trên khắp thế giới cho
mục đích tăng tốc sự phát triển của mật mã khóa công khai.
• PKCS là chuẩn không chính thức nhưng được chấp thuận rộng rãi trong công nghiệp
một số được công bố bởi IETF (RFC).

18/04/2023 http://ca.gov.vn 15
 4.2. HỌ CHUẨN PKCS

• PKCS #1 RSA Encryption Standard là chuẩn về cài đặt mật mã khóa công khai dựa trên
giải thuật RSA. Nội dung của chuẩn PKCS #1 bao gồm:
– Cryptographic primitives
– Encryption schemes
– Signature schemes with appendix
– ASN.1 syntax for representing keys and for identifying the schemes
• PKCS#1 đưa vào RFC 3447.

• PKCS #3 Diffie-Hellman Key Agreement Standard: định nghĩa giao thức trao đổi khóa
bí mật sử dụng giải thuật Diffie-Hellman

18/04/2023 http://ca.gov.vn 16
 4.2. HỌ CHUẨN PKCS

• PKCS #5 Password-Based Encryption Standard; cung cấp khuyến nghị cho việc cài đặt
mật mã dựa trên mật khẩu bao gồm:
– key derivation functions
– encryption schemes
– message-authentication schemes
– ASN.1 syntax identifying the techniques.
• PKCS #5 RFC 2898

• PKCS #6 Extended-Certificate Syntax Standard: định nghĩa khuôn dạng mở rộng của
chứng thư số X509, phần mở rộng đã được đưa vào khuôn dạng chứng thư số X509 v3.

18/04/2023 http://ca.gov.vn 17
 4.2. HỌ CHUẨN PKCS

• PKCS #7 Cryptographic Message Syntax Standard: định nghĩa cú pháp, khuôn dạng
cho một vài loại thông điệp dữ liệu được bảo vệ bằng mật mã (ký, mã).

• PKCS #8: Private-Key Information Syntax Standard: mô tả cú pháp các thông tin của
khóa bí mật (thuật toán, thuộc tính).

• PKCS #9: Selected Attribute Types: định nghĩa các kiểu thuộc tính được lựa chọn sử
dụng trong chứng thư số PKCS #6, thông điệp dữ liệu được ký số PKCS #7, thông tin
về khóa PKCS #8, yêu cầu ký chứng thư PKCS #10.

• PKCS #10: Certification Request Syntax Standard: chuẩn mô tả các cú pháp cho các
yêu cầu chứng thực khóa công khai gồm khóa công khai và một tập các thuộc tính khác.
18/04/2023 http://ca.gov.vn 18
 4.2. HỌ CHUẨN PKCS

• PKCS #11: Cryptographic Token Interface Standard: mô tả một API, gọi là CryptoKi,
cho các thiết bị lưu giữ các thông tin mật mã và thực hiện các chức năng mật mã.
Cryptoki giải quyết mục tiêu độc lập công nghệ và chia sẻ tài nguyên, dưa đến cho các
ứng dụng một cái nhìn chung và logic về thiết bị gọi là token mật mã.

• PKCS #12: Personal Information Exchange Syntax Standard: chuẩn mô tả khuôn dạng
khả chuyển cho việc lưu trữ và vận chuyển khóa (bí mật/riêng) của người dùng, chứng
thư số và những điều bí mật khác.

18/04/2023 http://ca.gov.vn 19
 4.2. HỌ CHUẨN PKCS

• PKCS #13: Elliptic Curve Cryptography Standard: (đang phát triển) chuẩn giải quyết
các khía cạnh về mật mã đường cong eliptic như: các tham số, sinh và kiểm tra khóa,
chữ ký số, mã hóa khóa công khai, thỏa thuận khóa và cú pháp ASN1.

• PKCS #14: Pseudo-random Number Generation: đang phát triển

• PKCS #15: Cryptographic Token Information Format Standard: thiết lập chuẩn cho
phép người dùng sử dụng token mật mã để xác định chính mình tới nhiều phần mềm
biết chuẩn mà không quan tâm tới các ứng dụng của nhà cung cấp cryptoKi

18/04/2023 http://ca.gov.vn 20
 5. TÓM TẮT

Có 3 tổ loại chuẩn hóa chính về PKI:

• ITU-T recommendations – X serries.

• Internet Engineering Task Force (IETF) - Internet RFCs

• RSA Laboratories - PKCS

18/04/2023 http://ca.gov.vn 21
 6. THẢO LUẬN

18/04/2023 http://ca.gov.vn 22
 KẾT THÚC

18/04/2023 http://ca.gov.vn 23