Mã khoá công khai trong mạng riêng ảo (PKI và VPN)
Hiện nay nhiều mạng riêng ảo (VPN) đang thể hiện sự hạn chế bởi chính hệ thống
bảo mật quá đơn giản. Trong bài này chúng ta sẽ bàn đến một số sửa đổi cần thiết
để có thể đáp ứng yêu cầu phát triển một mạng riêng ảo lớn và có tính bảo mật
cao. Đa số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ
trợ của cơ sở hạ tầng mã khoá công khai (PKI). Các điểm kết cuối của các mạng
VPN này (các cổng bảo mật hoặc các máy khách) nhận thực lẫn nhau thông qua
thiết lập các "đường ngầm" IP. Một cách đơn giản nhất, điều đó có thể thực hiện
được thông qua việc thiết đặt cầu hình tại cả hai đầu của đường ngầm VPN cùng
chia sẻ một bí mật chung - một cặp mật khẩu (password). Phương pháp giải quyết
"thô sơ" này có thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồng
kềnh, khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tới
hàng trǎm, thậm chí hàng ngàn điểm. Hãy so sánh với một câu lạc bộ nhỏ, ở đó
mọi người đều biết nhau vì số lượng người ít và hầu như họ đã quen biết nhau từ
trước. Không có gì khó khǎn trong việc ghi nhớ tên và nhận dạng của các thành
viên trong một nhóm nhỏ. Nhưng với một câu lạc bộ có hàng trǎm thành viên thì
chắc chắn cần phải có thẻ hội viên. Các thành viên mới có thể chứng minh họ là ai
khi họ xuất trình thẻ hội viên. Với "hạ tầng" như vậy, hai người hoàn toàn không
quen biết có thể nhận dạng và tin cậy nhau đơn giản là vì họ tin vào thẻ hội viên
của nhau. Tương tự như vậy, hai đầu cuối VPN có thể nhận thực nhau thông qua
giấy chứng nhận điện tử - Một loại "thẻ hội viên điện tử" không thể thiếu trong các
mạng VPN lớn. Vậy tại sao hiện nay không phải mạng VPN lớn nào cũng sử dụng
chứng nhận điện tử? Bởi vì việc triển khai mạng lớn không chỉ đòi hỏi chứng nhận
điện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm: khối cung cấp
chứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cách
thức truy xuất dễ dàng để xác nhận tính hợp lệ. Nói một cách ngắn gọn, đó chính
là cơ sở hạ tầng mã khoá công khai - PKI. Khoá công khai là gì và tác dụng? Để
hiểu được yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơ
lược về khoá mật mã công khai. Hệ thống này xây dựng trên cơ sở một cặp khoá
mã có liên hệ toán học với nhau trong đó một khoá sử dụng để mã hoá thông điệp
và chỉ có khoá kia mới giải mã được thông điệp và ngược lại. Khi đó chúng ta có

Thay vào đó, chúng ta có thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư
mục công cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta có thể kết hợp hai
mạng VPN sẵn có thông qua việc cộng tác giữa hai CA trong trao đổi cơ sở dữ
liệu và trong việc phát hành giấy chứng nhận. Điều đó cũng tương tự như việc
công nhận hộ chiếu của một nước khác như là một giấy chứng minh hợp lệ vậy.
Cũng như hộ chiếu, mỗi giấy chứng nhận điện tử cũng phải có thời hạn hợp lệ và
có thể bị nơi phát hành thu hồi khi cần thiết. Xuất trình chữ ký điện tử liên quan
đến một giấy chứng nhận điện tử không hợp lệ, không tồn tại hay đã bị thu hồi sẽ
dẫn đến việc truy nhập không thành công. Vấn đề này có thể trở nên phức tạp nếu
người kiểm tra (nơi nhận) không thường xuyên kiểm tra tình trạng hợp lệ của giấy
chứng nhận tại nơi phát hành giấy chứng nhận (CA). Thậm chí, nếu việc kiểm tra
được thực hiện thì có thể danh sách các giấy chứng nhận điện tử bị thu hồi cũng đã
"lạc hậu". Vậy thì cần phải kiểm tra các danh sách này hàng tháng, hàng tuần hay
hàng ngày, hàng giờ? đó là vấn để của thực tế khi áp dụng các chính sách bảo mật
của mỗi nhà quản trị mạng cụ thể.