Cơ bản về chữ ký số, chứng chỉ số và PKI
Bài đăng này đã không được cập nhật trong 3 năm
I, Chữ kí số.
1, Khái niệm.
- Chữ ký số (Digital Signature) là một chuỗi dữ liệu liên kết với một thông điệp (message) và thực thể tạo ra thông điệp.
- Giải thuật tạo chữ ký số là một phương pháp sinh chữ ký số.
- Giải thuật kiểm tra chữ ký số là một phương pháp xác minh tính xác thực của chữ ký số.
- Quá trình tạo chữ ký số bao gồm: • Giải thuật tạo chữ ký số. • Phương pháp chuyển dữ liệu thông điệp thành dạng có thể ký được.
- Quá trình kiểm tra chữ ký số bao gồm: • Giải thuật kiểm tra chữ ký số. • Phương pháp khôi phục dữ liệu từ thông điệp.
2, Quá trình ký và kiểm tra chữ ký số.
a, Quá trình ký.
Các bước của quá trình ký một thông điệp:
- Tính toán chuỗi đại diện (message digest/hash value) của thông điệp sử dụng một giải thuật băm (Hashing algorithm);
- Chuỗi đại diện được ký sử dụng khóa riêng (Private key) của người gửi và một giải thuật tạo chữ ký (Signature/Encryption algorithm). Kết quả là chữ ký số (Digital signature) của thông điệp hay còn gọi là chuỗi đại diện được mã hóa (Encrypted message digest);
- Thông điệp ban đầu (message) được ghép với chữ ký số (Digital signature) tạo thành thông điệp đã được ký (Signed message);
- Thông điệp đã được ký (Signed message) được gửi cho người nhận.
b, Quá trình kiểm tra.
Các bước của quá trình kiểm tra chữ ký:
- Tách chữ ký số và thông điệp gốc khỏi thông điệp đã ký để xử lý riêng.
- Tính toán chuỗi đại diện MD1 (message digest) của thông điệp gốc sử dụng giải thuật băm (là giải thuật sử dụng trong quá trình ký).
- Sử dụng khóa công khai (Public key) của người gửi để giải mã chữ ký số -> chuỗi đại diện thông điệp MD2.
- So sánh MD1 và MD2: • Nếu MD1 = MD2 -> chữ ký kiểm tra thành công. Thông điệp đảm bảo tính toàn vẹn và thực sự xuất phát từ người gửi (do khóa công khai được chứng thực). • Nếu MD1 <> MD2 -> chữ ký không hợp lệ. Thông điệp có thể đã bị sửa đổi hoặc không thực sự xuất phát từ người gửi.
II, Chứng chỉ số.
1, Khái niệm.
Chứng chỉ số (Digital certificate), còn gọi là chứng chỉ khóa công khai (Public key certificate), hay chứng chỉ nhận dạng (Identity certificate) là một tài liệu điện tử sử dụng một chữ ký số để liên kết một khóa công khai và thông tin nhận dạng của một thực thể.
2, Nội dung.
Chứng chỉ số gồm các trường chính sau:
- Serial Number: Số nhận dạng của chứng chỉ số.
- Subject: Thông tin nhận dạng một cá nhận hoặc một tổ chức.
- Signature Algorithm: Giải thuật tạo chữ ký.
- Signature Hash Algorithm: Giải thuật tạo chuỗi băm cho tạo chữ ký.
- Signature: Chữ ký của người/tổ chức cấp chứng chỉ.
- Issuer: Người/tổ chức có thẩm quyền/tin cậy cấp chứng chỉ.
- Valid-From: Ngày bắt đầu có hiệu lực của chứng chỉ.
- Valid-To: Ngày hết hạn sử dụng chứng chỉ.
- Key-Usage: Mục địch sử dụng khóa (chữ ký số, mã hóa,…).
- Public Key: Khóa công khai của chủ thể.
- Thumbprint Algorithm: Giải thuật hash sử dụng để tạo chuỗi băm cho khóa công khai.
- Thumbprint: Chuỗi băm tạo từ khóa công khai.
3, Mục đích.
- Đảm bảo an toàn cho giao dịch trên nền web. Dùng chứng chỉ số cho phép website chạy trên SSL (tối thiểu máy chủ phải có chứng chỉ số): HTTP -> HTTPS: toàn bộ thông tin chuyển giữa server và client được đảm bảo tính bí mật, toàn vẹn và xác thực
- Chứng chỉ số có thể được sử dụng cho nhiều ứng dụng: Email, FTP.
III, Hạ tầng khóa công khai - PKI.
1, Khái niệm.
Hạ tầng khóa công khai (Public-key infrastructure - PKI) là một tập các phần cứng, phần mềm, nhân lực, chính sách và các thủ tục để tạo, quản lý, phân phối, sử dụng, lưu trữ và thu hồi các chứng chỉ số.
2, Thành phần.
Một PKI gồm:
- Certificate Authority (CA): Cơ quan cấp và kiểm tra chứng chỉ số.
- Registration Authority (RA): Bộ phận kiểm tra thông tin nhận dạng của người dùng theo yêu cầu của CA.
- Validation Authority (VA): Cơ quan xác nhận thông tin nhận dạng của người dùng thay mặt CA.
- Central Directory (CD): Là nơi lưu danh mục và lập chỉ số các khóa.
- Certificate Management System: Hệ thống quản lý chứng chỉ.
- Certificate Policy: Chính sách về chứng chỉ.
3, Lưu đồ cấp và sử dụng.
Tham khảo
- HANDBOOK of APPLIED CRYPTOGRAPHY - Alfred J. Menezes , Paul C. van Oorschot , Scott A. Vanstone .
- Giáo trình an toàn và bảo mật thông tin - TS. Hoàng Xuân Dậu.
All rights reserved