Tweet
Cơ sở hạ tầng khóa công khai (PKI)
Phần này trình bày các khái niệm cốt lõi của cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI), khởi đầu từ việc quản lý khóa và mở rộng đến các thành phần quan trọng như Cơ quan cấp chứng chỉ (Certificate Authorities – CAs), Cơ quan cấp chứng chỉ trung gian, và Cơ quan đăng ký (Registration Authorities – RAs). Ngoài ra, nội dung còn đề cập đến Danh sách thu hồi chứng chỉ (Certificate Revocation Lists – CRLs), các thuộc tính của chứng chỉ, Giao thức trạng thái chứng chỉ trực tuyến (Online Certificate Status Protocol – OCSP), cũng như Quy trình yêu cầu ký chứng chỉ (Certificate Signing Requests – CSRs).
Quản lý khóa công khai
Hệ thống quản lý khóa đóng vai trò trung tâm trong toàn bộ vòng đời của khóa mã hóa. PKI là một mô hình tích hợp bao gồm phần cứng, phần mềm, chính sách, quy trình và con người, nhằm phục vụ việc tạo, phân phối, quản lý, lưu trữ và thu hồi các chứng chỉ số (digital certificates).
Nếu bạn từng truy cập một trang web sử dụng HTTPS, bạn đã trực tiếp sử dụng PKI. Tuy nhiên, ứng dụng của PKI không chỉ giới hạn ở giao tiếp web bảo mật. Nó còn được triển khai trong nhiều trường hợp khác như bảo mật email, xác thực người dùng và thiết lập kết nối an toàn tới các hệ thống hoặc mạng từ xa.
Điều quan trọng cần phân biệt là PKI không đồng nghĩa với mã hóa khóa công khai (public key encryption). PKI là một phương thức triển khai mã hóa khóa công khai, nhưng không phải mọi hệ thống sử dụng mã hóa khóa công khai đều là một phần của PKI.
Cặp khóa công khai và khóa riêng
PKI sử dụng mã hóa không đối xứng để tạo ra các cặp khóa, bao gồm một khóa công khai và một khóa riêng. Khóa công khai có thể được chia sẻ rộng rãi, trong khi khóa riêng phải luôn được giữ bí mật.
Trong một số triển khai, một bên thứ ba đáng tin cậy – gọi là đại lý ký quỹ khóa (key escrow agent) – có thể lưu trữ khóa riêng trong các hệ thống ký quỹ, cho phép phục hồi khóa trong những tình huống đặc biệt như mất khóa hoặc yêu cầu pháp lý. Dù đóng vai trò như một cơ chế dự phòng an toàn, việc lưu trữ khóa riêng trong ký quỹ cũng tiềm ẩn rủi ro bị truy cập trái phép.
Tùy theo cách thức tạo khóa, mô hình có thể được phân loại như sau:
Ví dụ thực tiễn:
Sự khác biệt cốt lõi nằm ở mức độ kiểm soát và tính riêng tư: khóa công khai có thể được chia sẻ rộng rãi, còn khóa riêng phải được bảo vệ nghiêm ngặt và không được tiết lộ.
Tổng kết
PKI đóng vai trò then chốt trong việc liên kết danh tính người dùng với khóa công khai thông qua các chứng chỉ số do các cơ quan cấp chứng chỉ phát hành. Trong một số trường hợp đặc biệt, mối liên kết này cũng có thể được xây dựng thông qua các gốc tin cậy (trusted roots), đặc biệt trong các môi trường kiểm soát chặt chẽ hoặc hệ thống nội bộ.
Phần này trình bày các khái niệm cốt lõi của cơ sở hạ tầng khóa công khai (Public Key Infrastructure – PKI), khởi đầu từ việc quản lý khóa và mở rộng đến các thành phần quan trọng như Cơ quan cấp chứng chỉ (Certificate Authorities – CAs), Cơ quan cấp chứng chỉ trung gian, và Cơ quan đăng ký (Registration Authorities – RAs). Ngoài ra, nội dung còn đề cập đến Danh sách thu hồi chứng chỉ (Certificate Revocation Lists – CRLs), các thuộc tính của chứng chỉ, Giao thức trạng thái chứng chỉ trực tuyến (Online Certificate Status Protocol – OCSP), cũng như Quy trình yêu cầu ký chứng chỉ (Certificate Signing Requests – CSRs).
Quản lý khóa công khai
Hệ thống quản lý khóa đóng vai trò trung tâm trong toàn bộ vòng đời của khóa mã hóa. PKI là một mô hình tích hợp bao gồm phần cứng, phần mềm, chính sách, quy trình và con người, nhằm phục vụ việc tạo, phân phối, quản lý, lưu trữ và thu hồi các chứng chỉ số (digital certificates).
Nếu bạn từng truy cập một trang web sử dụng HTTPS, bạn đã trực tiếp sử dụng PKI. Tuy nhiên, ứng dụng của PKI không chỉ giới hạn ở giao tiếp web bảo mật. Nó còn được triển khai trong nhiều trường hợp khác như bảo mật email, xác thực người dùng và thiết lập kết nối an toàn tới các hệ thống hoặc mạng từ xa.
Điều quan trọng cần phân biệt là PKI không đồng nghĩa với mã hóa khóa công khai (public key encryption). PKI là một phương thức triển khai mã hóa khóa công khai, nhưng không phải mọi hệ thống sử dụng mã hóa khóa công khai đều là một phần của PKI.
Cặp khóa công khai và khóa riêng
PKI sử dụng mã hóa không đối xứng để tạo ra các cặp khóa, bao gồm một khóa công khai và một khóa riêng. Khóa công khai có thể được chia sẻ rộng rãi, trong khi khóa riêng phải luôn được giữ bí mật.
Trong một số triển khai, một bên thứ ba đáng tin cậy – gọi là đại lý ký quỹ khóa (key escrow agent) – có thể lưu trữ khóa riêng trong các hệ thống ký quỹ, cho phép phục hồi khóa trong những tình huống đặc biệt như mất khóa hoặc yêu cầu pháp lý. Dù đóng vai trò như một cơ chế dự phòng an toàn, việc lưu trữ khóa riêng trong ký quỹ cũng tiềm ẩn rủi ro bị truy cập trái phép.
Tùy theo cách thức tạo khóa, mô hình có thể được phân loại như sau:
- Tập trung (centralized): Cặp khóa được tạo tại máy chủ trung tâm; khóa công khai được phân phối theo yêu cầu.
- Phi tập trung (decentralized): Cặp khóa được tạo tại máy người dùng; khóa không được phân phối mà chỉ sử dụng cục bộ.
Ví dụ thực tiễn:
- Khóa công khai: Chứng chỉ số mà trình duyệt web nhận được khi thiết lập kết nối HTTPS với một website thương mại điện tử.
- Khóa riêng: Được sử dụng để mã hóa chữ ký số trong email cá nhân, đảm bảo tính xác thực và bảo mật nội dung.
Sự khác biệt cốt lõi nằm ở mức độ kiểm soát và tính riêng tư: khóa công khai có thể được chia sẻ rộng rãi, còn khóa riêng phải được bảo vệ nghiêm ngặt và không được tiết lộ.
Tổng kết
PKI đóng vai trò then chốt trong việc liên kết danh tính người dùng với khóa công khai thông qua các chứng chỉ số do các cơ quan cấp chứng chỉ phát hành. Trong một số trường hợp đặc biệt, mối liên kết này cũng có thể được xây dựng thông qua các gốc tin cậy (trusted roots), đặc biệt trong các môi trường kiểm soát chặt chẽ hoặc hệ thống nội bộ.