Liên tác trong chứng thực chữ ký số

15:19 | 23/10/2014

Liên tác hoạt động giữa các miền PKI đối mặt với hai vấn đề chính là xây dựng các mô hình PKI liên miền cho các miền PKI cần có các hoạt động liên tác và tương thích hoạt động giao dịch cho từng người sử dụng CTS thuộc các miền PKI liên tác với nhau.

MỞ ĐẦU

Trong thời gian qua, sự phát triển của các hoạt động chứng thực điện tử (CTĐT) hay chứng thực chữ ký số (CKS) trên thế giới và tại mỗi quốc gia đã tạo ra các “ốc đảo” – các miền PKI riêng rẽ. Mỗi miền PKI có thể là hệ thống  chứng thực CKS của một ngành, liên ngành, một Bộ, một địa phương và cũng có thể là một cơ quan, tổ chức. Người sử dụng chứng thư số (CTS) thuộc một miền PKI chưa gặp trở ngại nào đối với các hoạt động giao dịch trong hệ thống của mình.

Trên thực tế, mỗi người sử dụng CTS thường có nhu cầu giao dịch CTĐT với nhiều người sử dụng CTS thuộc các miền PKI khác nhau, điển hình như là hoạt động hộ chiếu điện tử. Hộ chiếu điện tử của một quốc gia sẽ sử dụng CTS của quốc gia đó để ký số. Tuy nhiên, khi một công dân mang hộ chiếu điện tử của mình ra nước ngoài, thì trạm kiểm soát biên giới của nước sở tại sẽ không kiểm tra được CTS đã được sử dụng để ký số hộ chiếu đó, nếu chưa có sự liên kết giữa các hệ thống chứng thực đó.

Các hoạt động liên quan tới giao dịch điện tử quốc tế, của nhiều quốc gia khác đều mắc phải vấn đề tương tự. Đây không phải vấn đề công nghệ hay luật pháp gây ra mà do “cạnh tranh” ngôi vị. Nếu không vì lý do này, người ta có thể tạo ra hành lang pháp lý và hạ tầng kỹ thuật để toàn thế giới thuộc về cùng một miền PKI. 

Tương tự, nếu trong mỗi quốc gia, các miền PKI đều thống nhất với nhau thì sẽ có một CA gốc (RootCA) chung cho tất cả các miền PKI cho mọi lĩnh vực xã hội. Trong thực tế khó có một cơ quan hay tổ chức nào đảm nhiệm chức năng quản lý RootCA cho mọi lĩnh vực hoạt động của một quốc gia. Như vậy, sẽ có hai khả năng có thể giúp cho các hoạt động CTĐT diễn ra thống nhất giữa mọi miền PKI.

Thứ nhất, mỗi người sử dụng sở hữu nhiều CTS khác nhau, sử dụng cho mỗi vai trò giao dịch mà người đó có nhu cầu. Cách tiếp cận này tương tự như hoạt động ngân hàng điện tử. Nếu không có hoạt động điện tử liên ngân hàng, thì mỗi khách hàng phải sở hữu nhiều thẻ tín dụng điện tử và sẽ gặp nhiều bất tiện trong các hoạt động giao dịch hàng ngày. Mỗi khi có nhu cầu CTĐT mới, người sử dụng lại cần một CTS mới, với các đảm bảo về pháp lý, công nghệ, quy trình hoạt động, các phương tiện tin học và các dịch vụ tin cậy đi kèm với loại CTS mới này. 

Box: Hàn Quốc là quốc gia đi tiên phong về ứng dụng CNTT tại khu vực châu Á. Nước này đang tồn tại hai miền PKI riêng biệt dành cho khu vực công cộng gọi là NPKI và khu vực chính phủ gọi là GPKI. Rõ ràng, muốn có ứng dụng thống nhất một CTS cho mỗi người sử dụng thì ngay tại Hàn Quốc cũng cần có nhu cầu liên tác giữa GPKI và NPKI. Điều này càng trở nên cấp thiết khi Hàn Quốc  mở rộng ứng dụng CTS trên phạm vi khu vực và quốc tế.

Thứ hai, các miền PKI cần phải liên tác hoạt động, để giúp cho mỗi người dùng chỉ cần một CTS là có thể tiến hành mọi giao dịch cần thiết, trong bối cảnh không có một RootCA duy nhất cho tất cả các miền PKI khác nhau.

Trong bài báo này, chúng tôi giới thiệu phần nghiên cứu xem xét về các mô hình liên tác PKI có thể xảy ra trên thực tế ứng dụng.

MÔ HÌNH LIÊN MIỀN PKI

Thực tế ứng dụng đòi hỏi các miền PKI phải liên tác với nhau và tạo ra mô hình thích hợp để giúp cho người sử dụng CTS có thể giao dịch với nhau bằng một CTS duy nhất. Năm mô hình liên tác PKI đã được ứng dụng rộng rãi trên thế giới gồm:

Mô hình phân cấp thứ bậc trên - dưới

Mô hình đầu tiên được đề xuất là mô hình phân cấp thứ bậc, với một RootCA chung cho các miền PKI với các CA cấp dưới. Các CA cấp dưới có thể phụ trách các CA cấp thấp hơn, cứ như vậy tạo ra mô hình hình cây, với gốc là RootCA và “lá” là CTS của người dùng. Tất cả người dùng trong hệ thống đều phải tin tưởng vào CTS với khóa công khai của RootCA và coi đây là “mỏ neo” tin cậy trong chuỗi móc xích tin cậy từ CTS của mình đến gốc cây phân cấp.

Mô hình này có ưu điểm là quản lý thống nhất và có thứ bậc trên/dưới rõ ràng, thể hiện qua cấu trúc phân cấp. Các CA cấp thấp không cần phải chứng nhận các CA cấp cao hơn trong cây phân cấp. Mỗi bên tham gia phải có hiểu biết về khóa công khai của RootCA, là nơi tạo ra mỏ neo tin cậy cơ bản đối với tất cả các bên tham gia.

Mô hình này có nhược điểm là nếu cặp khóa trong CTS của RootCA bị lộ, thì toàn bộ các CTS của cả mô hình liên tác bị ảnh hưởng và phải bị gỡ bỏ và thay mới. Bởi vậy, RootCA cần phải tách rời khỏi mạng PKI và hoạt động phi trực tuyến để giảm khả năng làm lộ cặp khóa trong CTS của nó.

Mô hình này thường được áp dụng trong trường hợp các công ty phân cấp tách biệt nhau trong một tổng công ty lớn.

Mô hình chứng thực chéo

Mô hình này quy định các miền PKI và RootCA chứng thực chéo với nhau, tương ứng từng đôi một. RootCA này sẽ ký số vào CTS của RootCA kia và ngược lại để những người sử dụng thuộc cả hai miền PKI đều có mỏ neo tin cậy khi giao dịch với nhau.

Khi đó, muốn kiểm tra CTS của một miền PKI miền thứ 2, người sử dụng của miền PKI thứ nhất phải kiểm tra lần theo chuỗi móc xích tin cậy: từ CTS của mình đến RootCA của miền PKI thứ 2, kiểm tra tiếp  CTS tự ký của RootCA trong miền PKI thứ nhất, là đỉnh của chuỗi móc xích tin cậy.

CTS tự ký của RootCA trong miền PKI thứ nhất chính là mỏ neo tin cậy. CTS này đã được ký số vào CTS của RootCA trong miền PKI có chứng thực chéo (miền thứ 2) và kết quả là có thể kiểm tra đến các CTS của những người sử dụng của miền PKI thứ 2.

Điểm nổi bật của mô hình này là khi chứng thực chéo thì các miền PKI vẫn tồn tại độc lập với các mối quan hệ tin cậy bên trong mà không ảnh hưởng đến các mối quan hệ tin cậy bên ngoài.

Mô hình này thích hợp cho môi trường mà các tổ chức giao dịch với nhau không có quan hệ phân cấp trên – dưới, nhưng cũng có thể áp dụng để mô hình hóa các cấu trúc phân cấp. Các tuyến liên tác sẽ được phát triển để có thể tăng dần khi các cặp CA chứng thực chéo nhau.  

Hạn chế của mô hình này là khi có nhiều miền PKI cần liên tác hoạt động thì số lượng các chứng thực chéo sẽ tăng nhanh theo cấp số nhân và trở nên rất phức tạp. Bởi vậy, mô hình này không áp dụng khi có nhiều miền PKI cần liên tác với nhau. Chứng thực chéo cũng phát sinh ra vấn đề “tin cậy bắc cầu” không mong muốn (nếu A tin cậy B và B tin cậy C thì suy ra A phải tin cậy C là điều không mong muốn). Để khắc phục vấn đề này, người ta đưa ra ba yêu cầu kiểm soát là các ràng buộc về đặt tên, về chính sách và độ dài tuyến CTS. 

Mô hình CA cầu nối

Trong mô hình này, khi có nhiều miền PKI và các RootCA tương ứng có nhu cầu liên tác, người ta thiết lập thêm một CA trung gian bình đẳng để làm cầu nối. CA cầu nối chứng thực chéo với từng RootCA trong các miền PKI tương ứng để tạo ra liên tác. Những người sử dụng sẽ có mỏ neo tin cậy thông qua CTS của CA cầu nối. Mô hình này được ví như hình ảnh một chiếc bánh xe, trong đó CA cầu nối là trục của bánh xe, các chứng thực chéo sẽ là nan hoa, còn các RootCA của các miền PKI sẽ nằm trên vành bánh xe.

Mô hình CA cầu nối không có RootCA trên đỉnh các miền PKI và cũng không tạo ra nhiều chứng thực chéo không cần thiết. Mô hình này rất thích hợp nếu số lượng các miền PKI liên tác lớn, nhưng nếu số miền PKI nhỏ thì sẽ lãng phí trong việc quản lý vận hành.

Các quốc gia có hạ tầng CNTT phát triển và phân chia thành nhiều miền PKI khác nhau thường sử dụng mô hình CA cầu nối, điển hình là mô hình liên tác PKI của Mỹ, Canada và Nhật Bản. Do không làm xuất hiện cạnh tranh ngôi vị, nên mô hình CA cầu nối là ứng cử viên ưu tiên số một khi mở rộng liên tác giữa các PKI tách biệt khác nhau của một số lượng lớn các cơ quan/tổ chức, đặc biệt là khi các cơ quan/tổ chức này có các chính sách tương thích.

Mô hình danh sách tin cậy

Mô hình này yêu cầu mỗi ứng dụng ràng buộc PKI của người sử dụng phải nhúng vào trong đó một danh sách các khóa công khai của các RootCA được tin cậy. Danh sách này được ký số bởi người sử dụng hoặc nhà cung cấp tin cậy, được coi như mỏ neo tin cậy.

Để kiểm tra tính hợp lệ một CTS trong các miền PKI liên tác, người ta xây dựng đường dẫn tin cậy từ CTS đó lên đến một trong các CTS của các RootCA có tên trong danh sách tin cậy và coi như đã dẫn đến mỏ neo tin cậy. Trong trường hợp tạo ra đường dẫn thẳng từ CTS cần kiểm tra đến ngay một trong các CTS của các RootCA tin cậy trong danh sách, thì việc kiểm tra sẽ thực hiện rất nhanh chóng.

Giữa các miền PKI liên tác sẽ không cần bất kỳ các quan hệ tin cậy nào. Trong danh sách tin cậy, người ta dựa vào những người kiểm tra thay mặt họ thực hiện công việc này và các kết quả xảy ra rất linh hoạt. So với cách tiếp cận chứng thực chéo, sử dụng các danh sách tin cậy loại bỏ được các phụ trội quản lý từ các CA trung gian và đầu tư vào các hệ thống đầu cuối và những người quản trị liên quan đến chúng.

Hàn Quốc đã chọn cách tiếp cận này khi liên tác giữa miền GPKI và NPKI của mình. Với một quốc gia mà các ứng dụng PKI còn chưa quá phức tạp thì đây cũng là cách lựa chọn phù hợp. Đặc biệt là các ứng dụng an toàn trên Internet, như các dịch vụ SSL rất thuận lợi khi áp dụng mô hình danh sách tin cậy. Khi đó các trình duyệt Web sẽ do một số nhà cung cấp có uy tín được sử dụng rộng rãi trên toàn cầu. Trong danh sách tin cậy gồm các CA có uy tín toàn cầu và người sử dụng trên toàn thế giới có thể giao dịch với nhau dễ dàng bằng việc sử dụng CTS do các CA này cung cấp.

Mô hình lai ghép

Khi các tổ chức độc lập thiết lập các CA riêng rẽ và sau đó phát triển nhu cầu liên lạc thì cần một dạng chứng thực áp dụng để liên kết các CA phân cấp. Chứng thực chéo đôi một giữa các phân cấp cấp thấp có đặc tính là nó bảo toàn khả năng của các tổ chức, để bắt buộc tuân thủ các ràng buộc quy định trong các phân cấp của chúng. 

Mô hình lai ghép có một số tính chất như: Có nhiều RootCA đang tồn tại; Tất cả các CA (không phải là RootCA) được phân cấp với các đường dẫn được chứng thực từ RootCA trở xuống và từ CA này trở lên; Các RootCA thiết lập mạng được chứng thực chéo giữa chúng, sao cho mỗi phân cấp có thể với tới mỗi phân cấp khác thông qua chỉ một CTS chéo tại mức gốc; Chứng thực chéo được lựa chọn giữa các CA (không phải là RootCA) là được phép.

Mô hình lai ghép có giá trị quan trọng, do kết hợp hai nhân tố: Khả năng xây dựng các đường dẫn bất kỳ một cách đơn giản trong điều kiện mạng bên trong RootCA dễ dàng liên thông qua lại và   đưa ra các chứng thực chéo “đường tắt” trực tiếp đối với các đường dẫn được sử dụng nhiều, nối vào các điểm cấp thấp hơn trong các phân cấp.

Mạng bên trong RootCA sẵn có được coi như là tài nguyên chung đối với kết nối được chứng thực, nhưng không cần sử dụng tất cả các đường dẫn. Những bên tham gia trong mô hình này có thể lựa chọn xem có nên sử dụng các khóa của một hay nhiều RootCA như là các mỏ neo tin cậy đã được cấu hình trước hay sử dụng khóa của một CA cục bộ được tin cậy. Liên tác vẫn có thể xảy ra, thậm chí nếu các lựa chọn khác nhau được tiến hành bởi hai điểm cuối liên lạc với nhau.

KẾT LUẬN

Thực tế phát triển của các hạ tầng PKI làm xuất hiện nhiều miền PKI đứng tách biệt nhau như những ốc đảo. Các miền PKI này chỉ cung cấp các dịch vụ CTĐT cho những thực thể đầu cuối, với cùng các CTS do các miền PKI này cấp phát và duy trì cung cấp các dịch vụ tin cậy cần thiết.

Điều này dẫn đến việc, chỉ những thực thể đầu cuối có các CTS được cấp phát bởi cùng một miền PKI thì mới có thể giao dịch CTĐT với nhau. Các thực thể đầu cuối thuộc về các miền PKI khác nhau muốn giao dịch với nhau cần phải được cấp phát các CTS khác nhau tương ứng. Một thực thể đầu cuối có thể phải có được các CTS khác nhau từ các miền PKI khác nhau để giao dịch với các dịch vụ CTĐT. Các giao dịch này tách rời nhau nên rất bất tiện khi làm việc với cùng một đối tượng tài liệu điện tử liên quan đến nhiều giao dịch điện tử với các CTS khác nhau.

Hiện nay trên thế giới, các quốc gia thường ứng dụng mô hình CA cầu nối và danh sách tin cậy. Ứng dụng của các mô hình khác sẽ được tiếp tục thử nghiệm trong tương lai, khi có những nhu cầu và điều kiện thích hợp.

Các miền PKI tách biệt cần đến các mô hình liên tác tại phía thượng tầng, nhưng chưa phải là điều kiện đủ. Để cho từng người sử dụng thuộc các miền PKI khác nhau có thể giao dịch với nhau chỉ với duy nhất một CTS thì còn cần đến tương thích hoạt động giữa các miền PKI.

Vấn đề tương thích hoạt động giữa các miền PKI sẽ được trình bày như một vấn đề độc lập trong bài báo tiếp theo. Chỉ khi có được mô hình liên tác và tương thích hoạt động giữa các miền PKI thì mới thực sự có giao dịch giữa những người sử dụng CTS trong các miền PKI này.