Trường Đại Học Bách Khoa-Đại Học Quốc Gia Thành Phố Hồ Chí Minh

Public Key
Cơ sở hạ tầng khóa công khai
Infrastructure
05/2020
THÀNH VIÊN
 Nguyễn Hoàng Khôi

 Đinh Minh Tuấn

 Nguyễn Thị Thu Huyền

 Nguyễn Lê Hải Nguyên

 Trần Võ Huy Tâm

Khái niệm PKI
• Public key infrastructure, viết tắt (PKI) là
một cơ chế để cho một bên thứ 3 (thường
là nhà cung cấp chứng thực số) cung cấp
và xác thực định danh các bên tham gia
vào quá trình trao đổi thông tin.

• PKI cho phép những người tham

gia xác thực lẫn nhau và sử dụng
thông tin từ các chứng thực khoá
công khai để mật mã hoá và giải mã
thông tin trong quá trình trao đổi.
Thành phần chính của
PKI
 Chứng
Thực
Tổ chứcthể
nhận
chứng
cuốikhoá
(End
nhận(Certificate
công
Entitykhai
–
 (Public
EE):Đối
Authority
Kho lưuKeytượng
– CA):Có
trữ Certificate):
chứngsử dụngnhiệm
nhận chứng
vụ phát
Chứng
nhận (chứng
hành, quản
nhậnlý
(Certificate khóa
thư
và số):
hủy
công
Repository có
bỏ–khai
thể
các là
chứng
CR):Hệ
chứa
mộtsố
thư
thốngtổđủchức,
(cóthông
thểmột tintrung
tập người
cho những
cụ thể
hoặc phân
thực
haychức
tán)
Tổ một
thể trữ
lưu khác
dịchchứng
đăng vụ
có
kí trên
thể xác
thư
chứng máy nhận
chủ,
vànhận
danh
hoặc
… các
sách kiểm
(Registration traAuthority
chứng danh
thư tính –của
bị thu hồi
chủ nhận chứng
RA): Mục đích chínhnhậncủađó RA là
để giảm tải công việc của CA.
• Secure Sockets Layer là tiêu
chuẩn của công nghệ bảo mật,
truyền thông mã hoá giữa máy
chủ Web server và trình duyệt
(browser).
Secure Sockets Layer
• Tiêu chuẩn này hoạt động và
đảm bảo rằng các dữ liệu
truyền tải giữa máy chủ và
trình duyệt của người dùng
đều riêng tư và toàn vẹn
Certificate
Chứng Thư Số
Trong môi trường PKI, làm sao để
thỏa mãn 2 tiêu chí:
• Tính toàn vẹn của khóa công khai

• Gắn kết khóa công khai và thông tin kết hợp

của nó tới chủ sở hữu theo cách tin cậy
  Chứng thư số là kỹ thuật có thể giải quyết và đảm
bảo cả hai tiêu chí trên
•• Chứng thư số chứa tất cả các
Chứng thư số được xem như là
thông
thẻ căntincước
cần sử
thiết nhưtrên
dụng khóa
môi
công khai, chủ thể,
trường mạng máy tính bên cấp
chứng thư số,… và không chứa
bất kỳ một thông tin bí mật nào
• Chứng thư số là một dạng tài
liệu điện tử, được phát hành
bởi một CA (Certification
Authority)
Hình 1 certificate cụ thể
 TÓM LẠI

Chứng thư số được dùng để nhận diện

một cá nhân, một máy chủ và được gắn
định danh đối tượng với khóa công khai.
Có vai trò quan trọng trong lĩnh vực kinh
tế (nộp thuế qua mạng, khai báo hải
quan và thực hiện giao dịch điện tử khác
như hóa đơn điện tử)
Chứng thư số X509
Chứng thư số X.509 có 3 phiên bản

• Chứngthư
Chứng thưX.509
X.509Version
Version1: 2:
Được
Hiện nay, chứng định
• được
thư sốnghĩa
giới thiệu
X.509vào
lànăm
vào năm1988
loại 1993sử dụng
được
phổ biến nhất
Chứng thư X.509 Version 3

• Được ra đời vào năm 1996

• Được bổ sung thêm các phần mở
rộng (extension) để khắc phục các
vấn đề liên quan tới việc so khớp
Issuer Unique ID và Subject Unique
ID cũng như là các vấn đề về xác
thực chứng chỉ.
Certificate life-cycle management

1. Registration 7. Key update

2. Key generation and 8. Key recovery
distribution 9. Certificate revocation
3. Key backup 10.Certificate expiration
4. Certificate issuance 11.Key history
5. Certificate retrieval 12.Key archive
6. Certificate validation
Thu hồi chứng thư (Certificate Revocation)

Tuy
Vì
CAthế
nhiên,
kýchứng
chứngmột
thưsốsố
thư trường
sốđã được
gắn hợpcấp
kết như:
không
khóa công còn
khaiđược tin
với nhận
cậy
dạngnữa
người dùng.
Do
• đó cần phải có một cơ chế cho phép người sử dụng
Chứng thư số có khóa bị xâm hại
chứng thư số kiểm tra được trạng thái thu hồi chứng
• Người
thư số này.sở hữu chứng thư số thay đổi nơi làm việc, địa
điểm
 Cơ chế cảnh báo này trong PKI được gọi là thu hồi
• Người sở hữu không tuân thủ các yêu cầu, chính sách
chứng thư số (Certificate Revocation)
của bên cấp chứng thư số,…
 Danh sách thu hồi chứng thư số
(CRL -Certificate Revocation Lists)
 Là một danh sách các chứng thư số (hoặc cụ thể hơn
một danh sách số thứ tự nối tiếp cho chứng thư số)
đã bị thu hồi.

 Một CRL được sinh ra và xuất bản định kỳ, thường

trong khoảng thời gian nhất định. Một CRL cũng có
thể được công bố ngay sau khi có một chứng thư số
bị thu hồi
ÞĐể ngăn chặn giả mạo hoặc tấn công :

• CRL thường mang thường

mang theo một chữ kí kĩ
thuật gắn liền với CA đã
được công bố
 • Hiện nay
 Tuy
PKInhiên
đượctùytriển
vào
khai
cáckhá
mụcphổ
đích,yêu
biến trong
cầu khác
các tổnhau
chức vớicũng
vai trò
nhưnhưquymộtmôcông
và khả
cụnăng
đảm của
bảo từng
an toàn
tổ chức
cho mà
những nguồn
có thểtàichọn
nguyên
triểnnhạy
khai cảm.
một trong 4 mô hình PKI phổ
KIẾN TRÚC CỦA HỆ THỐNG PKI
biến sau:
• Single CA ( Mô hình CA đơn)
• Trust list ( Danh sách đáng tin cậy)
• Hierarchical PKI ( Mô hình phân cấp)
• Mesh PKI ( Kiến trúc mạng lưới)
 ƯU
NHƯỢC ĐIỂM
ĐIỂM
• • Đây 
 Thứ nhất: là ở khả năng co giãn – khi quy mô tổ
Phù
Mọilàhợp
môCuối
thực với
hình
Vì
thểđây
các
cùng,
tổ là
muốntổ
chức
mô
chức
nếu
thamCA
hình
CA
nhỏ
cơbị
gia đơn
trong
bản
xâm
vào giản
vàđó
PKIhại
đơn
nhất
chỉ
thìxin
và giản
có
nguy
nêncấp
một
nhất.
dễhại
CA
thiết
tới kế
chứng độ
cung chức
cấpphải
vàdịch
tin được
triển
cậy vụ
của
khaimở
cho
toàn rộng,
,giảm
toàn
bộhệ chỉ
tối
hệthốngmột
thống
thiểu CA thì khó mà quản lý
chỉ đều thông qua CA duy nhất và
được
vàtất
này.tấtnhững
cả
cảngười
cácvấn
chứngđề chỉ
và
dùng đặtsố đáp
vềsựphải
khả ứng
tin năng
cậy
được tốt
vào các
tương
cấpCA dịch
lạitác
này, vụ.
mộtkhông
khi CA cónày
yêuđược
cầu xác
phục hồi.
Single CA
thực chéo.
( Mô hình CA đơn)
 Thứ hai :nếu CA ngưng hoạt động thì dịch vụ bị
ngưng trệ
 NHƯỢC
ƯU ĐIỂM
ĐIỂM
•• Đây
Đây là kiến trúc có
được áp CA
dụngđơnrộng rãi người
với các dịch vụ
 là mô
Kiến hình
trúc
Khó đơn
để nhiều
giản, lý
quản dễdanh lẻ
triển sách và
khai.các CA tin cậy.
Web, các
dùng có trình
thểCặp duyệt
chứng
tương tácvà
thưcác
được máy
số với tấtchủ
ngang là
hàng
cả những
cáckhôngđốiđược hỗ trợ
tượng sử trực
CA.Người dụng
dùng tiêu
tiếpsẽvìbiểu
duy nhất.
vậytrì
tạo
mộtra hạn
danhchế sáchcủacác
CA trong việc
 Trong danh
Việc Trust
sách
lýtìm
sự ra các
tincáclist
cậyCAcủalàmình
nhánh đối
xáctượng
nhậncáctinCA
cậykhác
không thì hỗ trợ
được
CA mà họquảntin cậy. với
(các
Danh
đối
nhiều sách
tượng
từ cấu đáng
sử dụng
trúc hoàn
chứngtin cậy)
toàn
thư tin tưởng vào
số
danh sách này
 NHƯỢC
ƯU ĐIỂM
ĐIỂM
• •RootCa
Một
Tất CA
cả
Các CA cáctrên
cung

Là mớiỞcấp
đối cùng
phạm
mô hình gọi
chứng
tượng đều
vi
có thểđược là RootCA,
thứ
rộng, cho
phải
đượcápthêm các
biết
một
dụngngayCA tất
khóa cả
sub.CA
duy
rộngdưới các
công
nhấtCA
bên
khai
rãi trong còn
dưới,
cáccủa
không
root CA tổthể
hoặc đảm
chức
lại
các
cáclà sub.
các
sub.CA
RootCA Subordinate
vàlại
lớn,dễ
CA cung
tấtlàm
nhận cảđược
cấp cấp
các
thấp
quen. CA
chứng
tất
hơn (gọi
chứng
cả thư
quátắtđều
thư là
cho
trình sub.CA)
nhiều
cóxác và hoạt
sub.CA
thểthực.
kiểm tra bằng
độngnữa
dưới
cách bên dưới
kiểm root CA.
tra đường dẫn của chứng thư đó tới RootCA
 Không →xảy Cũngra hiện
như tượng
singlevòng
CA, rootlặp do cách
CA tìmđược bảo
phải
nhánhvệHierarchical
theo một hướng
an toàn ở mứcnhất PKI
cao định
nhất nên đơn giản
• Ngoại  Nếu
vàtrừ rootCA
nhanh.
root CA bị
thì xâm
( Mô hình phân cấp)
các CAhại
còn → toàncó
lại đều bộduyhệ nhất
thống PKI gặp nguy hiểm
một
CA khác là cấp trên của nó.
 NHƯỢC
ƯU ĐIỂM
ĐIỂM

•• Trong
Các CA mô
Làkềmô
hìnhhình
nhaunày
cấplinh
không
động,
chứng có
chỉthích
một
choCAhợp
nhaunào
với
vàlàm
các
CAroot
mối
này CA
liên, hệ
có
các CA
thể xáctinthực
cócậy
vaiCA
lẫn
tròkia
nhau
ngang trong
theo nhau thực
nhiều trong
tế và
nhánhviệccông
kháccung việc
cấpkinh
nhau. dịch
vụ. doanh Cho phép CA xãc thực ngang hàng => giảm tải
Mesh PKI
Hệ lượng
 thống
Do đường
cấuPKI truyền
trúckhông
mạng lưới
thể và
bọ thao
nên
đánh tác
phức
sậpxử
tạp
khilý.
=>
mộttìmCAkiếm
bị
(các
Kiến trúc mạng lưới)
xâm hại.đối Khitượng
một CAkhóbịkhăn
lộ khóa chỉ cần cấp phát
• Các CA xác thực ngang
chứng thư số của CA tới các đối tượng có thiết lập
hàng tạo nên một mạng lưới
quan hệ tin cậy với CA này
tin cậy lẫn nhau.
Triển vọng của PKI
Ngày nay, nhu cầu trao đổi
=> Công nghệ mã hóa khóa công
thông tin trên hệ thống điện tử
khai ( PKI ) truyền thống đã thực
ngày một phát triển mạnh mẽ
hiện khá tốt việc mã hóa bảo mật
thông tin , công nghệ này đưa ra
Nhu cầu mã hóa dữ liệu ,các
một số bảo vệ mạnh mẽ nhất cho
tập tin điện tử và thông tin liên
thông tin điện tử đang sử dụng
lạc ngày càng cần thiết và khá
hiện nay
khó khăn
Tuy nhiên công nghệ này còn
có một số hạn chế như:
• Khó khăn khi khai thác tiềm năng của
KPI theo mô hình rộng lớn.

• KPI khác nhau sẽ cần các môi trường

làm việc khác nhau.

• Tốn kém và phức tạp cho các hoạt động

công nghệ thông tin
Thay thế PKI ?
 Năm 1984 , Adi Shamir đề
xuất một ý tưởng mới , một ý
tưởng mang tính đột phá với
phương pháp mã hóa cổ điển
PKI

Mã hóa dữ liệu dựa trên định danh

( Identity - Based Encryption -IBE )
 Ý tưởng của Shamir là an toàn dữ
liệu bằng cách bắt nguồn từ định
danh người nhận dự định
 IBE có thể sử dụng bất kỳ chuỗi
tùy ý như là một khóa công khai , cho
phép dữ liệu được bảo vệ mà không
cần giấy chứng nhận
Không cần đến các chứng chỉ, nên
việc xác minh chìa khoá công khai từ
các cơ sở hạ tầng có thể lượt bỏ.