Tin học
Chứng nhận và các hệ thống chứng nhận
Theo Ron Rivest, một trong những nhà đồng sáng lập của RSA Data Security, (http//www.rsa.com), “giấy chứng nhận số (digital certificate) là thẻ truy cập Internet của bạn”. Một giấy chứng nhận số là một cái gì đó nhằm chứng minh bạn là ai trên Internet hoặc trên mạng nội bộ. Nó là một số ID cá nhân (personal digital ID) hoặc chữ ký số (digital signature) được dùng để chứng minh tính xác thực, hoặc đảm bảo một thông báo được gởi đúng từ người mà bạn cho rằng nó xuất phát từ đó và đã không bị thay đổi trong suốt quá trình truyền đi.
Một giấy chứng nhận có thể xác minh tính xác thực của người đang tải thông tin đến một máy chủ an toàn. Ngoài ra, một web server có thể có giấy chứng nhận để xác minh tính xác thực của nó đối với người truy cập. Những người dùng nầy bảo đảm không bị lừa địa chỉ do những kẻ xấu muốn có được thẻ tín dụng và thông tin cá nhân hoặc tung ra các bản sao bị nhiễm virút của các chương trình thông dụng. Thậm chí giấy chứng nhận được dùng để thay thế số thẻ tín dụng trong giao dịch mua bán trên mạng. Chương trình SET (Secure Electronic Transaction - Giao dịch điện tử an toàn) do các công ty thẻ tín dụng lớn phát triển nhằm dấu đi các số thẻ tín dụng của các thương gia bằng việc thay thế số thẻ tín dụng bằng một giấy chứng nhận kỹ thuật số. Để biết thêm chi tiết, xem mục SET (Secure Electronic Transaction - giao dịch điện tử an toàn).
Mối nguy hiểm của việc giả mạo thông báo có lẽ là một lý do quan trọng hơn để sử dụng chữ ký số. Trong một vụ gây rối tình dục gần đây, người ta đã phát hiện một nhân viên đã giả mạo thông báo của sếp mình, nhưng vụ giả mạo nầy chỉ phát hiện được sau khi tòa đã tuyên bố cho bà ta hưởng 100.000 USD tiền bồi thường. Thông báo giả cũng xảy ra trên Internet nếu ai đó muốn hại một cá nhân hay một cơ quan. Khía cạnh khác của vấn đề nầy là việc chối gửi thông báo - nghĩa là tác giả không thừa nhận mình đã gửi thông báo.
Giấy chứng nhận được phát hành bởi CA (certificate authority - người có thẩm quyền chứng nhận), đây là một tổ chức tin cậy nhằm xác nhận các chứng từ và đóng dấu xác nhận lên những chứng từ nầy. Tổ chức CA thường được gọi là một “Cơ Quan Được Tin Cậy - Trusted Authority”, nhưng có liên quan nhiều vấn đề hơn với cái tên được gọi và mức độ bạn tin cậy cơ quan nầy. Toàn bộ quá trình xác nhận sử dụng một cơ chế an toàn, đã biết và đáng tin cậy, dựa trên cách mã hóa dùng khóa công khai. Để biết thêm chi tiết bạn có thể tham khảo mục “Public Key Cryptography”.
Về cơ bản phương pháp nầy tạo ra hai khóa liên kết nhưng riêng biệt cho mỗi người dùng. Một khóa cho riêng cá nhân đó, còn khóa kia là công khai. Nếu ai đó muốn gửi cho bạn một thông báo được mã hóa, thì trước đó họ nhận được một khóa công khai của bạn để mã hóa thông báo. Khi bạn nhận thông báo, bạn giải mã bằng khóa riêng của mình. Khóa riêng của bạn là một khóa duy nhất có thể giải mã một thông báo đã được mã hóa bằng khóa công khai của bạn. Phương pháp nầy đơn giản, gọn và cho phép các khóa công khai có thể được gửi đến bất kỳ ai, trong khi đó người sở hữu khóa công khai nầy có các khóa riêng của mình.
Bây giờ giả sử bạn muốn gửi một thông báo cho một người bạn, nhưng người bạn cần có một bảo đảm rằng thông báo thật sự là của bạn. Trong trường hợp nầy, bạn cần đảo ngược các bước trên. Về cơ bản, bạn mã hóa thông báo bằng khóa riêng, chứ không phải bằng khóa công khai của người nhận. Sau đó, người nhận giải mã thông báo nầy bằng khóa công khai của bạn. Vì khóa công khai của bạn là mã duy nhất thực hiện được điều nầy, do đó người kia sẽ chắc chắn rằng thông báo là từ bạn nếu anh ta giải mã được. (ít ra là đúng trên lý thuyết).
Cho đến nay, chúng ta đã thảo luận hai phương pháp mã hóa dùng khóa công khai:
Thông báo cá nhân (private message) Người gởi thông báo mã hóa bằng mã công khai của người nhận. Người nhận giải mã bằng khóa riêng của mình.
Thông báo có chữ ký (Signed message) Người gửi mã hóa bằng mã riêng. Người nhận giải mã bằng khóa công khai của người gởi.
Bây giờ giả sử bạn muốn giữ bí mật cho một thông báo đã được ký khi truyền đi. Điều nầy đơn giản. Đầu tiên tạo một thông báo được ký, sau đó tạo một thông báo riêng, ngoài thông báo đã được ký. Khi bạn của bạn nhận thông báo nầy, đầu tiên người bạn giải mã bằng mã khóa riêng của mình, sau đó giải mã lần nữa bằng khóa công khai của bạn. Bước cuối cùng chứng minh rằng thông báo nầy là từ bạn. Chú ý các bước thực hiện liên quan đến việc tạo ra thông báo được ký ít được bàn đến trong chủ đề nầy. Điều nầy sẽ được bàn nhiều hơn trong mục “Digital Signatures”.
Tất cả các trường hợp trên cho thấy khóa công khai được tin cậy. Nếu bạn trực tiếp đưa khóa công khai cho một người bạn, sau đó người bạn sẽ tin cậy dùng nó. Nhưng làm cách nào để để một người bán hàng trên mạng hoặc một đối tác kinh doanh thấy chắc chắn rằng khóa công khai của bạn là chính xác? Nếu ai đó giả mạo bạn để gửi một thông báo, sau đó giả mạo một khóa công khai để giải mã thông báo thì sao? Người nhận có thể không biết thông báo và khóa là giả và nhận lấy nội dung thông báo. Rõ ràng cần có một biện pháp an toàn và kiểm chứng được để phân phát các khóa công khai, và đây chính là chỗ để các cơ quan chứng nhận thực hiện vai trò của mình.
Định nghĩa đơn giản nhất: giấy chứng nhận là một “vật chứa” (container) gồm khóa công khai của bạn và có thể là vài thông tin về bạn. Nơi chứa nầy sau đó được ký bởi một CA (certificate authority) đáng tin cậy dùng các khóa riêng của nó. Về cơ bản, CA chấp nhận giấy chứng nhận và mã hóa nội dung của nó. Giấy chứng nhận có thể được dùng để giao dịch kinh doanh trên mạng hoặc để đăng nhập an toàn vào máy chủ. Hệ thống chấp nhận giấy chứng nhận có thể nhận được một bản sao các khóa công khai của CA (Certificate Authority) và kiểm tra rằng giấy chứng nhận là đúng.
Nhưng ở đây cần giả sử CA là đáng tin cậy. Bạn có tin cậy một giấy chứng nhận của một cơ quan thuộc một nuớc thế giới thứ ba hoặc của ngân hàng địa phương không? Để giải quyết vấn đề nầy, ở Mỹ đã thiết lập một sự phân cấp về mức độ tin cậy. Giấy chứng nhận địa phương được ủy quyền lại cho các tiểu bang và các tiểu bang được các CA toàn quốc ủy quyền. Khi tài liệu nầy được viết, nhiều tiểu bang hiện đang dự thảo các điều luật quy định cho cơ quan cấp giấy chứng nhận và cho phép các chữ ký số thay thế các chữ ký trên giấy. Lý do cần có các luật nầy là để cung cấp cơ chế kiểm tra và bảo đảm các mức độ an toàn. Hầu hết các tiểu bang sẽ yêu cầu các cơ quan CA phải có giấy phép hoạt động.
Verisign (http//www.verisign) là một cơ quan nổi tiếng đáng tin cậy, bạn có thể thăm web site để có thể đọc mô tả toàn bộ các sản phẩm của công ty dùng cho việc cấp phát và quản lý giấy chứng nhận. Giấy chứng nhận cấp 1 của Verisign, có thể nhận được miễn phí, chỉ chứa tên và địa chỉ email của người dùng. Giấy chứng nhận cấp cao hơn có thể chứa nhiều thông tin cá nhân hơn. Trong thực tế thì các công ty có thể làm việc với Verisign để yêu cầu giấy chứng nhận theo ý riêng với các trường thông tin đầy đủ chi tiết.
Để có giấy chứng nhận từ Verisign, bạn qua một tiến trình ủy nhiệm giống như bạn xin cấp thẻ tín dụng. Bước đầu tiên trong tiến trình nầy là tạo ra khóa công khai và khóa cá nhân của bạn. Các trình duyệt web (web browser), thư điện tử và các hệ điều hành như Win95, đều có khả năng tạo ra các khóa. Khi các khóa được tạo ra, bạn gửi nó cùng với các thông tin cá nhân/công ty cần thiết đến CA. Verisign hoặc các Web site khác của CA có đầy đủ hướng dẫn để hoàn thành tiến trình xử lý nầy. Nếu tất cả mọi thứ suôn sẻ, bạn được cấp chứng nhận.
Các Hệ Chứng Nhận Nội Bộ
Các CA công cộng cũng như Verisign đã cung cấp một dịch vụ có giá trị. Nhưng nhiều tổ chức có thể yêu cầu dùng thiết bị của chính họ trên toàn cầu. Như đã đề cập trước, các giấy chứng nhận có thể dùng cho nhiều người dùng khác nhau trong suốt tiến trình thâm nhập vào máy chủ. Chúng cũng rất quan trọng trong việc kiểm tra thư điện tử từ các người dùng khác trong tổ chức và chúng cung cấp một cách để kiểm tra luồng tư liệu trong các phần mềm làm việc theo nhóm và các phần mềm kinh doanh. Ví dụ, một người điều khiển ngân sách có thể yêu cầu mua thiết bị với giá một triệu đôla và dùng chữ ký số trên tài liệu. Tài liệu nầy đi qua hệ thống làm việc trang bị bằng máy tính đến văn phòng mua bán. Văn phòng mua bán có thể biết rằng tài liệu nầy là xác thực vì có đi kèm giấy chứng nhận.
Nhiều tổ chức quan tâm hơn trong nỗ lực phát hành chứng nhận nội bộ căn cứ vào các chính sách nhu cầu chứng thực của công ty . Để thỏa mãn yêu cầu nầy, một số nhà cung cấp tỏ ý muốn đưa ra các máy chủ cấp giấy chứng nhận trong nhà, gồm Certificate Server của Netscape (http//www.netscape.com), Sentry CA của công ty Xcert Software (http//www.Xcert.com), và e-Lock của Frontier Technologies (http//www.frontiertech.com). Đặc biệt là sản phẩm của Netscape hoàn toàn tương thích với các cơ sở hạ tầng của khóa công khai.
TỪ MỤC LIÊN QUAN
Authentication And Authorization; Cryptography; Digital Signatures; Electric Commerce; PKIPublic-Key Infrastructure; Public-Key Cryptography; Security; SET (Secure Electronic Transaction); Và Token-Based Authentication.
THÔNG TIN TRÊN INTERNET
Commercenet http//www.commerce.net
U.S. postal service http//www.usps.gov
GTE-CyberTrust http//www.cybertrust.gtc.com
Verisign, Inc. http//www.verisign.com
World Wide web Consortiumhttp//www.w3.org