Mô hình triển khai PKI và liên tác giữa các thuê bao chứng thực số

15:00 | 19/12/2011 | CÔNG NGHỆ PKI
Hiện nay, việc lựa chọn các mô hình triển khai PKI ở các quốc gia rất khác nhau và chưa có một mô hình nào được coi là tối ưu. Vấn đề liên tác hoạt động dịch vụ Chứng thực điện tử (CTĐT) rất cấp thiết nhưng hiện chưa có giải pháp nào thực sự hiệu quả và tin cậy. Đây không chỉ là về công nghệ, mà còn phụ thuộc vào trình độ phát triển CA và chính sách CA của các quốc gia đối với các hạ tầng PKI được ứng dụng trong các lĩnh vực khác nhau.

Trên thế giới đã hình thành các hạ tầng PKI mang tính độc lập và sẽ hình thành nhu cầu kết nối giữa các hạ tầng này để liên tác khi mở rộng hoạt động giữa các quốc gia, các ngành, các thuê bao và giữa các ứng dụng CNTT. Điều đó cần thực hiện đối với các lĩnh vực như hoạt động Hải quan xuyên quốc gia, hoạt động vận tải hàng hải.

Trước đây, khi ứng dụng của điện thoại di động mở rộng ra toàn cầu, nhu cầu liên lạc của hai máy điện thoại của bất kỳ thuê bao nào và tại bất kỳ địa điểm nào trên phạm vi toàn cầu. Dịch vụ CTĐT cũng cần được thực hiện như liên lạc điện thoại di động.

Việc này phụ thuộc vào các mô hình PKI để kết nối liên tác giữa các thuê bao chứng thực số (CTS) khác nhau, hạ tầng ràng buộc đối với PKI, khả năng nhúng dịch vụ CTĐT vào các ứng dụng CNTT của các thuê bao CTS và các chính sách, quy định của các hạ tầng PKI của các thuê bao khác nhau muốn liên tác với nhau. Tất cả các vấn đề nêu trên cần phải tương thích thì thuê bao của các hạ tầng PKI khác nhau mới có thể liên tác (thực hiện dịch vụ CTĐT) với nhau.

Dưới đây sẽ phân tích các mô hình PKI và những vấn đề do thực tế đặt ra cần giải quyết khi liên tác giữa các thuê bao CTS.

1. Các mô hình PKI tổng quát

Xét ở mức của thuê bao CTS thì hai thuê bao CTS khác nhau muốn liên tác được với nhau trong hoạt động dịch vụ CTĐT phải đảm bảo hai yếu tố quan trọng là tin cậy về danh tính và khóa công khai.

Một văn bản muốn đảm bảo tính toàn vẹn của các thông tin trong đó thì phải có chứng nhận bằng con dấu và chữ ký có thẩm quyền của một nhà thẩm quyền đáng tin cậy.

Trong hoạt động CTĐT thì nhà thẩm quyền đáng tin cậy này lại là một thuê bao CTS tin cậy khác thường là của cấp trên trong mô hình phân cấp. Thông thường người ta gọi các thuê bao này là các “mỏ neo” tin cậy.

Hai thuê bao CTS khác nhau chỉ thực sự tin nhau khi họ tìm ra được “mỏ neo” chung trước khi tiến hành hoạt động CTĐT. Mỗi mô hình PKI diễn tả một chuỗi móc xích dẫn đến các mỏ neo tin cậy của hai thuê bao CTS bất kỳ trước khi họ tiến hành hoạt động CTĐT với nhau.

Có rất nhiều biến thể của các mô hình hoạt động dịch vụ CTĐT liên quan đến các chuỗi móc xích tin cậy nhưng khái quát lại thì có ba mô hình cơ bản sau đây:

a. Mô hình tập trung phân cấp

Mô hình này sẽ có một CA duy nhất xác nhận tính tin cậy của tất cả các thuê bao CTS muốn giao tác với nhau. Sự xác nhận này có thể là trực tiếp đến các CTS của thuê bao và cũng có thể gián tiếp qua các Sub CA phân cấp, miễn là các thuê bao CTS có đủ cơ sở để tin cậy lẫn nhau về danh tính cũng như khóa công khai tương ứng của danh tính đó. Đôi khi CA cũng sử dụng các RA là các thẩm quyền đăng ký hỗ trợ việc xác minh, miễn là các thuê bao có đủ cơ sở để tin cậy lẫn nhau với các CTS đại diện cho họ.

Để chống lại sự độc quyền của một CA đôi khi có các mô hình PKI biến thể, bao gồm nhiều CA khác nhau tạo thành một danh sách mà các thuê bao CTS có thể chọn. Loại biến thể này rất phổ biến khi áp dụng cho các phần mềm hay hệ thống CNTT sử dụng CTS.

Người ta cũng tận dụng cách ánh xạ tên miền để hỗ trợ thêm trong mô hình này và cũng có được các cách tiếp cận trên xuống hoặc dưới lên như trong các phương pháp luận phân tích thiết kế hệ thống để làm tốt hơn cho hoạt động của mô hình PKI.

b. Mô hình phân tán tự do

Ngược lại với mô hình tập trung phân cấp là mô hình phân tán tự do. Trong mô hình này hai thuê bao CTS phải tìm ra các mỏ neo tin cậy chung để có thể kiểm chứng xác nhận tin cậy lẫn nhau.

Trong mô hình phân tán tự do, hai thuê bao CTS sẽ tìm một chuỗi móc xích tin cậy đi từ thuê bao này đến thuê bao kia thông qua các CKS liên kết nhau từ thuê bao này đến thuê bao kia và dựa vào đó, các thuê bao có đủ cơ sở để tin cậy các CTS của nhau.

Nếu hai thuê bao CTS có cùng một mỏ neo tin cậy, hay họ đã biết rõ CTS của nhau một cách tin cậy bằng một cách thức nào đó thì chuỗi móc xích sẽ là trực tiếp và ngắn nhất. Vấn đề cơ bản là sao cho hai thuê bao tìm được chuỗi móc xích này nhanh và hiệu quả trước khi kiểm chứng, xác nhận tin cậy các CTS của nhau vì có rất nhiều chuỗi móc xích tồn tại, và việc tìm ra nhanh một chuỗi móc xích như vậy cũng là một bài toán cần giải quyết. Ở đây, các thuê bao là các đối tác hoàn toàn tự do và bình đẳng với nhau trong hoạt động CTĐT.

c. Mô hình cầu nối

Mô hình này sẽ thay thế vai trò xác thực chéo giữa các CA đại diện cho các thuê bao CTS trong hoạt động liên tác giữa nhiều hạ tầng PKI khác nhau, bằng cách sử dụng các CA trung gian làm cầu nối (mà không phải là CA cấp trên). Mô hình này làm xuất hiện nhu cầu xác thực chéo giữa các Root CA và CA đứng ra làm cầu nối. Mô hình cầu nối có thể gồm một hoặc nhiều CA cầu nối. Cũng có các biến thể trong đó các cầu nối lại được liên kết với nhau theo cơ chế xác thực chéo.

Có thể nói, các mô hình PKI này là sự tổng quát hóa hoạt động của các hạ tầng PKI chứ không phải là các giải pháp tối ưu. Mỗi mô hình và các biến thể của nó còn để lại nhiều hạn chế và đến nay chưa có giải pháp nào là tối ưu thỏa đáng.

2. Một số mô hình triển khai PKI thực tế

Trên thực tế cả ba mô hình trên với các biến thể của nó được áp dụng cùng với các lợi thế hay các hạn chế của chúng. Sử dụng các mô hình này làm cho hai thuê bao CTS thuộc các hạ tầng PKI khác nhau có thể liên tác được với nhau và hoạt động dịch vụ CTĐT không bị giới hạn bởi quốc gia, ngành nghề hay ứng dụng CNTT.

Ví dụ điển hình của mô hình phân tán tự do là hoạt động của dịch vụ thư tín điện tử PGP sử dụng CTS. Hai hộp thư bất kỳ có đăng ký CTS có thể liên tác với nhau một cách tin cậy dù chúng thuộc bất kỳ các hệ thống máy tính nào trên mạng Internet.

Mô hình tập trung phân cấp được ứng dụng khá rộng rãi. Ví dụ như mô hình hoạt động Hải quan quốc tế. Trước nhu cầu thực tế đặt ra, các thuê bao CTS hải quan của các quốc gia buộc phải chọn một tổ chức quốc tế đứng ra làm Root CA để họ cùng tin cậy khi Root CA này ký CKS vào các CTS của các thuê bao CTS Hải quan của từng quốc gia.

Khi các thuê bao CTS Hải quan của từng quốc gia thấy cùng phải tín nhiệm một tổ chức quốc tế để xác nhận tin cậy các CTS của họ thì cũng phải chịu nhiều rủi ro phụ thuộc vào tổ chức đóng vai trò Root CA. Liệu đây có phải là “gửi trứng cho ác” hay không? Cho dù họ chưa  có cách lựa chọn nào khác.

Tất cả các hoạt động CTĐT có phạm vi quốc tế như vận tải hàng hải quốc tế, xuất nhập khẩu quốc tế và nhiều hoạt động quốc tế khác hiện đều gặp phải vấn đề này mà vẫn chưa tìm ra được một giải pháp nào an toàn nào hơn.

Mô hình cầu nối là các mô hình hoạt động PKI của Mỹ, Ca- na- đa, Nhật Bản.

Tại Nhật Bản, do có quá nhiều Root CA nên người ta chọn mô hình cầu nối phức tạp với một nhóm các cầu nối để liên kết toàn bộ các Root CA với nhau và tạo thuận lợi cho các hoạt động CA liên tác quốc gia và quốc tế.

Hình 1 cho thấy mô hình kết nối giữa các cầu BCA của 3 nhóm Root CA là cầu BCA nhóm chính phủ GPKI, cầu BCA nhóm công cộng JPKI và cầu BCA nhóm chính quyền địa phương LPKI.

Hình 1: Mô hình PKI dạng cầu nối phức tạp của Nhật Bản.

Mỹ và Ca- na- đa, do có nhiều Root CA nên đều chọn mô hình cầu để kết nối các Root CA lại với nhau phục vụ cho các hoạt động giao tác CA thống nhất.

Mô hình cầu của Mỹ đơn giản hơn mô hình cầu của Nhật Bản, bao gồm cầu nối CA liên bang nối với cầu nối CA các trường đại học và nối với PKI của Ca- na- đa (như trong hình 2).

Hình 2: Mô hình PKI dạng cầu nối của Mỹ

Sau khi có được mô hình liên tác thì các thuê bao CTS thuộc các hạ tầng PKI còn sử dụng các phần mềm, phần cứng ràng buộc PKI tương thích để hỗ trợ cho hoạt động CTĐT xây dựng các chính sách, quy định sử dụng CTS tương thích để dịch vụ CTĐT được tiến hành thông suốt giữa các hạ tầng PKI khác nhau.

Để hỗ trợ cho các hoạt động CA và triển khai hạ tầng PKI hiệu quả hơn, hiện nay đã có các hội thảo hay diễn đàn quốc tế định kỳ hàng năm để các quốc gia có thể chia sẻ kinh nghiệm triển khai PKI như Asia PKI Forum, PKI Forum, European PKI Workshop,  PKI R&D Workshop,....

Triển vọng và thách thức

Đối với các mô hình PKI đã xem xét thì một vấn đề đặt ra là liên tác giữa các thuê bao CTS hay giữa các CA đại diện cho các thuê bao khác nhau là rất cần thiết.

Dịch vụ CTĐT cũng giống như dịch vụ điện thoại di động, nhưng để triển khai toàn cầu, giữa các ngành khác nhau, các ứng dụng CNTT khác nhau thì gặp nhiều khó khăn và thách thức hơn.

Nếu giải quyết tốt vấn đề liên tác thì tiềm năng ứng dụng của dịch vụ CTĐT trở lên vô cùng to lớn giữa các quốc gia, giữa các ngành và giữa các ứng dụng CNTT.

Hiện nay việc lựa chọn các mô hình PKI cũng rất khác nhau và chưa có quốc gia nào thỏa mãn về mô hình mà mình đã chọn, kể cả các quốc gia có sự phát triển CNTT ở mức cao.

Vấn đề liên tác hoạt động dịch vụ CTĐT giữa các ngành hay giữa các loại ứng dụng CNTT toàn cầu đã đặt ra rất cấp thiết nhưng còn chưa có giải pháp hiệu quả và tin cậy. Đây là bài toán mà ngành CA còn phải giải quyết trong các năm tiếp theo.

Tin cùng chuyên mục

Tin mới