Lượt xem: 5646 | Gửi lúc: 01/08/2012 15:02:34
Bookmark and Share

Hoạt động chứng thực điện tử an toàn sử dụng CP và CPS

Hạ tầng PKI muốn hoạt động an toàn và hiệu quả, đáp ứng đúng các yêu cầu đặt ra thì ngoài các chỉ tiêu về kỹ thuật, công nghệ, còn phải quan tâm đến vấn đề quy định pháp lý cho hoạt động CTĐT và chính sách, thực hành, các quy trình, thủ tục hoạt động của các CTS.

Hai loại tài liệu gắn liền với các chính sách và thủ tục hoạt động của CA là Chính sách Chứng thực CTS (Certificate Policy - CP) và Diễn giải thực hành CTĐT (Certification Practices Statement- CPS). Hoạt động chứng thực điện tử (CTĐT) về bản chất là hoạt động của Thẩm quyền chứng thực CA hoặc Hạ tầng khóa công khai PKI (gọi chung là CA) gắn liền với Chứng thư số (CTS). Với sự phát triển của Thương mại điện tử và Chính phủ điện tử thì số lượng CTS ngày càng nhiều và vấn đề quản lý sử dụng CTS càng trở nên quan trọng đối với một CA, hay một hạ tầng PKI.
Để hạ tầng PKI hoạt động an toàn và hiệu quả, đáp ứng đúng các yêu cầu đặt ra thì ngoài các chỉ tiêu về kỹ thuật, công nghệ, người ta còn phải quan tâm đến vấn đề quy định  pháp lý cho hoạt động CTĐT; Hai loại tài liệu gắn liền với các chính sách và thủ tục hoạt động của CA là Chính sách Chứng thực CTS (Certificate Policy -  CP) và diễn giải thực hành CTĐT (Certification Practices Statement- CPS).
Các tài liệu này là văn bản không thể xử lý tự động và bắt buộc phải có khi các CA đi vào hoạt động. Bên cạnh đó, các CA phải dễ dàng so sánh được các CP/CPS với nhau. Việc soạn ra các CP/CPS phải căn cứ theo khung hướng dẫn được phát triển dựa trên lý thuyết hình thức với các kỹ thuật biểu diễn tri thức. Khung hướng dẫn được chỉ ra trong RFC 2527 từ năm 1999 và được cập nhật trong RFC 3647 năm 2003. Khi soạn thảo CP/CPS, các CA chỉ cần tham chiếu đến các tài liệu này và điều chỉnh theo những yêu cầu hoạt động riêng của mình.
Tuy vậy, thuê bao chỉ có thể so sánh sự giống nhau giữa các CP/CPS mà không thể xác định CP/CPS nào tin cậy hơn. Các thuê bao cần phải “đọc” CP/CPS để biết CTS được cấp phát tương ứng có đáng tin cậy hay không.
Giải pháp biểu diễn hình thức và có cấu trúc thông tin trong CP/CPS nhằm hạn chế các sai sót và đảm bảo tính rõ ràng, mạch lạc trong nội dung các CP/CPS. Trên thực tế có cách tiếp cận hai pha đáp ứng cho giải pháp này. Pha thứ nhất là biểu diễn ngữ nghĩa sử dụng lôgic diễn tả. Pha thứ hai là biểu diễn cú pháp của ngữ nghĩa đã được xác định.
Một trong các mục tiêu biểu diễn hình thức của CP/CPS là để dễ dàng so sánh chúng với nhau. Bởi vậy, cần phải mô tả cùng loại chủ đề sử dụng cấu trúc chung, sử dụng cùng thuộc tính và các tập hợp các giá trị.
Trong thực tế người ta thấy rằng, các CP/CPS lại rất khó so sánh vì cùng dựa vào khung hướng dẫn RFC2527 nhưng chúng tồn tại quá nhiều không gian để diễn giải hoặc thể hiện các khía cạnh khác nhau. Các thuê bao muốn so sánh chất lượng của CTS cũng buộc phải đối mặt với vấn đề này. Sẽ thuận lợi nếu các hệ thống dựa trên lôgic biểu diễn là lược đồ thống nhất đối với việc đặc tả chính sách chung.
Trong quá trình ứng dụng, người ta thường chú ý đến việc các CA và hạ tầng PKI đã đầu tư cho việc tạo ra và duy trì CP/CPS trong hoạt động của mình như thế nào. Khi hoạt động CTĐT mở rộng, các CA và hạ tầng PKI khác nhau cần liên tác thông qua các dịch vụ chứng thực chéo thì lúc đó vấn đề kiểm tra và so sánh CP/CPS giữa các CA cần phải xem xét đến.
Các CP/CPS cũng có tầm quan trọng đặc biệt trong việc chuẩn hóa một hạ tầng PKI sử dụng CTS theo chuẩn X.509 và là một trong những thành phần quan trọng của chuẩn này.

Chính sách chứng thư số CP

Trong nhiều tài liệu đang lưu hành, CP được định nghĩa “là một tập hợp các quy định có tên gọi chỉ ra tính áp dụng được của một chứng thư đối với một cộng đồng cụ thể và/hoặc một lớp ứng dụng với các yêu cầu an toàn chung”.
Cũng có thể cho rằng, CP là diễn giải mức cao các yêu cầu và các hạn chế gắn kết với việc sử dụng có chủ đích của các CTS được cấp phát thông qua chính sách đó. Thông thường, CP sẽ trả lời cho câu hỏi “cần phải làm gì?”, còn CPS trả lời cho câu hỏi “làm như thế nào?”.
Hiện nay có thể tham khảo nhiều khung hướng dẫn để soạn ra một CP có chất lượng và đáng tin cậy như: RFC 2527 (được nâng cấp thành RFC 3647); CARAT Guidelines (CARAT); Digital Signature Guidelines: Legal Infrastructure for Certification Authorities and Electronic Commerce (ABA); The Automotive Network eXchange Certificate Policy (ANX); The Government of Canada Certificate Policy (GOCCP); The U.S. Federal PKI “Model Certificate Policy” (MCP)....
Để phân biệt các CP với nhau, mỗi CP sẽ được gắn với một từ định danh duy nhất cho một đối tượng (Object Identifier - OID). Như vậy, các CTS thuộc về một CP sẽ có một OID duy nhất tham chiếu đến CP này. OID thể hiện dưới dạng dữ liệu đơn giản, được định nghĩa bởi ASN.1 (Abstract Syntax Notation Number One) và là một dãy các số nguyên được phân cách bởi các dấu chấm. Mỗi OID ánh xạ đến một CP và mỗi CP lại tham chiếu đến một vài CPS. Chính vì vậy, chúng ta có thể sử dụng các OID để dễ dàng phân biệt được CP này với các CP khác.
Trong mỗi hạ tầng PKI đều có một bộ phận thực hiện chức năng Thẩm quyền chính sách (Policy Authority - PA) hay còn gọi là Thẩm quyền quản lý chính sách (Policy Management Authority) có trách nhiệm soạn thảo các CP và CPS.

 


PA có thể là Thẩm quyền của Phòng an toàn thông tin nội bộ hay một tổ chức tương đương. Đôi khi, PA còn được xây dựng từ Ban cố vấn chính sách được thành lập từ các thành viên thuộc các phòng, ban chính trong một tổ chức. Phối hợp với một Thẩm quyền bên trong, một Thẩm quyền chính sách bên ngoài có thể soạn thảo CP cho một số miền PKI thuộc một cộng đồng có chung lợi ích.
PA có trách nhiệm đăng ký các CP với các RA thích hợp sao cho các định danh OID của CP cũng được gắn một cách thích hợp. CP tạo thành cơ sở cho mối quan hệ tin cậy giữa các CA. CA sử dụng dịch vụ chứng thực chéo có thể dùng các CP của nhau như là điểm xuất phát để xác định mối quan hệ giữa chúng.
Trên thực tế, mặc dù không so sánh được CP với chính sách của một tổ chức, nhưng nó hoạt động song song với chính sách đó. Người ta có thể xem CP như là một tập hợp các quy định và cam kết được tài liệu hóa, do CA soạn ra để chỉ ra tính ứng dụng của CTS đối với một nhóm cụ thể người dùng hay một tập hợp các ứng dụng.
Mục tiêu đầu tiên của các CP là xác định chính sách an toàn mà tổ chức chứng thực cần phải tuân theo. Nó cũng được sử dụng như một tài liệu tham chiếu cho các tổ chức khác khi cần thiết lập quan hệ tin cậy giữa các miền với một tổ chức trong nhóm. Điều đó đảm bảo rằng dữ liệu của các thành viên trong nhóm sẽ vẫn an toàn sau khi thiết lập mối quan hệ tin cậy. CP không cần biết về việc chính sách sẽ được thực thi như thế nào, nó chỉ “lặp lại” cam kết của tổ chức về đảm bảo an toàn cho các CTS.
Các CTS khác nhau, khi được cấp phát sẽ tuân theo các diễn giải thực hành, các quy trình khác nhau và có thể phù hợp với các ứng dụng, các mục đích khác nhau. Song tất cả các CTS này đều nằm trong phạm vi của một CP. Mỗi CP có thể áp dụng cho một hoặc một số tổ chức, thậm chí là một hệ thống của tập đoàn lớn.
Khung hướng dẫn soạn thảo một CP chỉ ra các thành phần chung cơ bản như sau: Các thẩm quyền; Chứng thực và các thẩm quyền; Tính ứng dụng và xác định cộng đồng; Các hồ sơ danh sách gỡ bỏ CTS và CTS; Chính sách nhận biết và xác thực đối với các chủ thể, đăng ký; Chính sách quản lý khóa; Các điều khoản hoạt động và pháp lý; Chính sách an toàn phi kỹ thuật; Các yêu cầu về vận hành; Quản trị chính sách; Chính sách an toàn kỹ thuật.
Mức độ tin cậy vào sự gắn kết giữa định danh thuê bao và khóa công khai trong CTS phụ thuộc vào các nhân tố như: chính sách thẩm quyền chứng thực, quy trình xác thực thực thể cuối,  quy trình và kiểm soát an toàn, quy trình và chính sách đối với thực thể cuối về quản lý khóa bí mật. Trách nhiệm của thực thể cấp phát CTS và thực thể cuối cũng đóng vai trò quan trọng trong việc xác định mức độ tín nhiệm.
Ví dụ, D- Trust -  Root PKI công bố CP phiên bản 1.5 ngày 01/03/2011 có các thành phần chính như sau: Nhập môn; Trách nhiệm đối với các thư mục và các công bố; Nhận biết và xác thực; Các yêu cầu vận hành; Các điều khoản an toàn phi kỹ thuật; Các điều khoản an toàn kỹ thuật; Các hồ sơ của CTS, CRL, OCSP; Các kiểm tra và các đánh giá chất lượng; Các quy định pháp lý và tài chính khác.
Về cơ bản, CP này tuân theo các thành phần của khung hướng dẫn chung, chỉ khác về thứ tự và những nội dung chi tiết bên trong.

Diễn giải thực hành chứng thực số - CPS
  “CPS là bản diễn giải về các thực hành mà thẩm quyền chứng thực CA sử dụng để cấp phát, quản lý, gỡ bỏ thay mới hoặc thay khóa cho chứng thư số”. CPS là tài liệu mô tả rất chi tiết các thủ tục vận hành nội tại của thẩm quyền chứng thực CA và/hoặc hạ tầng PKI cấp phát các chứng thư số. Khác với CP, CPS luôn được công bố công khai bởi thẩm quyền chứng thực CA để thuận lợi cho việc tham khảo. Một CP có thể liên kết với một hoặc nhiều CPS nhưng một CPS chỉ xuất phát từ một CP.
CPS là tài liệu của một tổ chức có thể được sử dụng để đánh giá mức độ thành công trong các quá trình hoạt động trước khi hợp tác với các tổ chức khác. Bằng cách này, tổ chức soạn ra CPS có thể chứng minh năng lực quản lý các CTS của mình.
CPS thông thường bao gồm các thông tin sau: Thẩm quyền chứng thực CA mà CPS gắn kết với nó; Các chính sách chứng thư CP được thực thi bởi CA, trong khi một CA cũng có thể thực thi một hay nhiều CP; Chính sách cấp phát và thay mới các CTS của một CA; Chu kỳ hợp lệ của CTS của một CA; Những điều kiện mà CA có thể gỡ bỏ CTS của thuê bao; Các chính sách về danh sách chứng thư bị gỡ bỏ CRL (nói đến khoảng thời gian công bố và địa chỉ phân phối); Thuật toán mật mã được sử dụng đối với CTS của CA.
Theo định dạng của RFC 2527, các thành phần của CPS gồm: Nhập môn; Các điều khoản chung; Nhận biết và xác thực; Những yêu cầu vận hành; Các kiểm soát an toàn về nhân sự, quy trình và vật lý; Các kiểm soát an toàn về mặt kỹ thuật; Hồ sơ CRL và CTS; Quản trị đặc tả.
Trong số các thành phần đó, hai thành phần quan trọng là Nhận biết, xác thực và Những yêu cầu vận hành.
Đối với thành phần Nhận biết, xác thực thì trước khi cấp phát CTS đầu tiên, CA phải xác thực người xin cấp CTS. Người xin cấp CTS có thể được nhận biết thông qua các thông tin ủy nhiệm được trình bày trong đơn đăng ký của họ
Có nhiều cách nhận biết người xin cấp CTS như: Danh tính thư điện tử của thuê bao được đưa ra trong đơn xin cấp CTS và xuất hiện trực tiếp tại CA hay RA; Tên duy nhất của người xin cấp CTS; Xuất trình thông tin ủy nhiệm để nhận được thư được xác nhận/đăng ký.
Riêng mục Tên duy nhất của người xin cấp CTS, kinh nghiệm rút ra từ thực tế triển khai hoạt động CTĐT cho thấy rằng: Nếu trong CP quy định rõ đối với một Nhà cấp phát CTS thì các danh tính thuê bao sẽ là duy nhất và khi thực thi sẽ tránh được các vấn đề có thể phát sinh.
Thực tế có thể xảy ra tình huống: một thuê bao Nguyễn Văn An đang công tác tại địa phương A, nay tạm thời chuyển sang công tác tại địa phương B thì anh ta có cần xin cấp mới CTS hay không? Lý do là tại địa phương B có thể đã có thuê bao có cùng danh tính với thuê bao này và như vậy CTS của thuê bao cùng danh tính tại địa phương A sẽ bị nhầm sang là của thuê bao tại địa phương B.
Nếu trong CPS đã diễn giải cụ thể về tính duy nhất danh tính của thuê bao đối với cùng một Nhà cấp phát CTS thì sẽ không xảy ra tình huống nêu trên. Khi đó, có thể quy định danh tính của thuê bao tại địa phương A là Nguyễn Văn An A hay Nguyễn Văn An 01 để phân biệt với Nguyễn Văn An B hay Nguyễn Văn An 02 tại địa phương B và không cần phải cấp mới các CTS khi các thuê bao chuyển từ địa phương này sang địa phương khác.
Nếu tính duy nhất của danh tính của thuê bao  không được quy định rõ, thì cho dù cấp mới CTS, vẫn có thể xảy ra tình huống trùng lặp.
Thành phần Những yêu cầu vận hành nhằm đảm bảo rằng, CTS được cấp phát hay bị gỡ bỏ bởi CA chỉ khi nào thích hợp. Yêu cầu vận hành gồm các mục sau đây: Đơn xin cấp CTS; Cấp phát CTS; Chấp nhận CTS; Treo và gỡ bỏ CTS; Những quy trình kiểm toán an toàn; Cất giữ các bản ghi; Thay đổi khóa; Khôi phục sau thảm họa và khoá bị lộ; Kết thúc hoạt động của CA.
Trong thực tế hoạt động cấp phát CTS cho thuê bao, thông thường RA và CA tách biệt nhau và RA thường hoạt động thủ công, nên hoạt động cấp phát CTS thường chậm trễ và kéo dài. Ngay cả khi thuê bao đã nhận được CTS song vẫn chưa thể sẵn sàng sử dụng được, vì thuê bao còn chờ phản hồi lại CA về việc thuê bao đã chấp nhận CTS hay không, để CA công bố và xác định thời gian hiệu lực của CTS.
Tuy nhiên, nếu trong CPS quy định rõ khoảng thời gian, ví dụ, trong vòng 5 ngày hoặc một tuần, sau khi nhận được CTS mà thuê bao không có phản hồi lại CA, thì  được coi là đã chấp nhận và CTS có hiệu lực ngay sau thời hạn này mà không cần thực hiện bất kỳ một thủ tục nào khá.

Kết luận
Một CA hay một hạ tầng PKI không thể hoạt động cấp phát CTS nếu như thiếu CP và CPS. Trong các tài liệu này, những chính sách, phương pháp thực hành và những thủ tục sẽ được diễn giải đầy đủ để hoạt động của CTS đảm bảo chất lượng và tin cậy. Muốn đạt hiệu quả cao thì CP và CPS phải ngắn gọn và chất lượng cao để dễ thực thi, dễ tuân thủ và kiểm toán. Tuy vậy, việc tạo ra một CP, CPS đạt yêu cầu là không đơn giản. Người ta phải dựa vào khung hướng dẫn, phương pháp luận tiên tiến và vận dụng ngôn ngữ lôgic diễn tả thống nhất. Tại mỗi CA hay hạ tầng PKI cần phải có một Thẩm quyền chính sách (PA) để chuyên trách soạn thảo các CP/CPS. Các CP/CPS của các CA hay PKI phải được soạn thảo sao cho dễ dàng so sánh chúng với nhau.
Bên cạnh việc xây dựng CP và CPS, CA hoặc hạ tầng PKI còn cần quan tâm đến các vấn đề khác như chính sách mật khẩu nhạy cảm, các thủ tục phục hồi sau thảm họa, truy cập vật lý trong trường hợp khẩn cấp...

KS. Nguyễn Hữu Hùng, ThS. Trần Quang Kỳ