Mục lục
I. Giới
thiệu……………………………………………………………………………………….2
II. Các khái niệm liên
quan……………………………………………………………………… 2
1. Giới thiệu mã hóa và mã hóa thông điệp……………………………………………………2
2. Digital Certificate………………………………………………………………………… 6
3. X509……………………………………………………………………………………… 6
4. PKI(public key infrastructure)………………………………………………………………9
III. Thu hồi chứng
thư………………………………………………………………………………9
1. Certificate Revolation list (CRL)/Certificate Revolation list Scope (CRLs)………………10
2. OCSP(Online Certificate Status Protocol)…………………………………………………11
Danh mục hình vẽ
Hình1: Mã hoá thông điệp sử dụng khoá công khai P………………………………………………….3
Hình 2: Giải mã thông điệp sử dụng khoá cá nhân của người nhận……………………………………3
Hình 3: bảng so sánh thuật toán đối xứng và bất đối xứng…………………………………………… 4
Hình 4: Mã hoá thông điệp sử dụng khoá cá nhân S để mã thông điệp và khoá công khai P để mã khoá
cá nhân S……………………………………………………………………………………………… 5
Hình 5: Giải mã thông điệp sử dụng khoá cá nhân S để giải mã thông điệp và khoá cá nhân P để giải mã
khoá cá nhân S………………………………………………………………………………………….5
Hình 6 : Chứng thư số………………………………………………………………………………… 7
Hình 7 : Chứng thư X509……………………………………………………………………………….8
Hình 8: Các thành phần của một cở sở hạ tầng khóa công khai……………………………………….10
Hình 9: Khuôn dạng danh sách chứng thư bị thu hồi………………………………………………….11
[Type text] Page 1
I. Giới thiệu
Trong thời buổi phát triển công nghệ thông tin như hiện nay, việc thực hiện giao dịch qua internet
là rất phổ biến. Vì vậy nảy sinh vấn đề bảo mật an toàn cho người sử dụng. Vì vậy việc mã hóa thông
tin để bảo đảm an toàn cho người dùng là hết sức cần thiết. Bên cạnh đó phải biết quản lý các thông tin
mã hóa đó.

Người gửi A sẽ mã hoá thông điệp bằng khóa công của người nhận và người nhận B sẽ giải mã
thông điệp với khoá cá nhân tương ứng của mình. Như ví dụ sau:
Hình1: Mã hoá thông điệp sử dụng khoá công khai P
Hình 2: Giải mã thông điệp sử dụng khoá cá nhân của người nhận
Ta hãy so sánh ưu và nhược điểm của 2 loại thuật toán mật mã:
[Type text] Page 3
Hình 3: bảng so sánh thuật toán đối xứng và bất đối xứng
Ta có thể thấy rằng nhược điểm của loại này lại là ưu điểm của loại kia. Từ đó, người ta nảy sinh ý
tưởng kết hợp 2 loại thuật toán nhằm tận dụng ưu điểm và loại trừ khuyết điểm. Cụ thể, người ta tìm
cách kết hợp mã khóa đối xứng và mã khóa bất đối xứng để đạt được các yếu tố:
- Độ bảo mật cao.
- Tốc độ thực hiện nhanh.
- Bản mã có dung lượng tương đương bản gốc.
- Quá trình trao đổi mã khóa không ảnh hưởng đến việc bảo mật thông tin.
- Phù hợp với giao dịch trên mọi quy mô.
Quá trình này được thực hiện như sau:
[Type text] Page 4
Hình 4: Mã hoá thông điệp sử dụng khoá cá nhân S để mã thông điệp
và khoá công khai P để mã khoá cá nhân S
Hình 5: Giải mã thông điệp sử dụng khoá cá nhân S để giải mã thông điệp
và khoá cá nhân P để giải mã khoá cá nhân S
c.Hàm băm:
Hiểu theo một nghĩa đơn giản là hàm cho tương ứng một mảng dữ liệu lớn với một mảng dữ
liệu nhỏ hơn.
Hàm băm được đề cập đến trong phạm vi báo cáo là hàm băm một chiều, có tác dụng trợ giúp
cho các sơ đồ ký số nhằm làm giảm dung lượng của dữ liệu cần thiết để truyền qua mạng. Hàm băm ở
đây được hiểu là các thuật toán không sử dụng khoá để mã hóa (ở đây ta dùng thuật ngữ “băm” thay
cho “mã hoá”), nó có nhiệm vụ băm thông điệp được đưa vào theo một thuật toán h một chiều nào đó,
rồi đưa ra một bản băm – văn bản đại diện – có kích thước cố định. Giá trị của hàm băm là duy nhất và
không thể suy ngược lại được nội dung thông điệp từ giá trị băm này. Hàm băm một chiều h có một số

giữa khoá công của thực thể và một hoặc nhiều thuộc tính liên quan đến thực thể. Thực thể có thể là
người, thiết bị phần cứng như máy tính, router hay một phần mềm xử lý. PKC còn được gọi là “digital
certificate”- chứng thư số, “digital ID”, hay đơn giản là chứng thư.Nó sẽ chứa tên của bạn, các thông
tin cá nhân, số serial, ngày hết hạn, một bản sao của của khóa công khai (public key – sử dụng cho việc
mã hóa các thông điệp và chữ kí điện tử của bạn), và chữ kí điện tử của tổ chức cung cấp để cho người
nhận có thể nhận biết chứng thực này là hợp lệ.
[Type text] Page 6
Hình 6 : Chứng thư số
Có nhiều loại chứng thư, một trong số đó là:
- Chứng thư khoá công khai X.509( đang được sử dụng phổ biến)
- Chứng thư khoá công khai đơn giản (Simple Public Key
Certificates - SPKC)
- Chứng thư Pretty Good Privacy (PGP)
- Chứng thư thuộc tính (Attribute Certificates - AC)
3. X509
Chứng thư X.509 v3 là định dạng chứng thư được sử dụng phổ biến và được hầu hết các nhà
cung cấp sản phẩm PKI triển khai.Chứng thư khoá công khai X.509 được Hội viễn thông quốc tế (ITU)
đưa ra lần đầu tiên năm 1988 như là một bộ phận của dịch vụ thư mục X.500.
Chứng thư gồm 2 phần. Phần đầu là những trường cơ bản cần thiết phải có trong chứng thư.
Phần thứ hai chứa thêm một số trường phụ, những trường phụ này được gọi là trường mở rộng dùng để
xác định và đáp ứng những yêu cầu bổ sung của hệ thống. Khuôn dạng của chứng thư X.509 được chỉ
ra như trong hình 2
[Type text] Page 7
Hình 7 : Chứng thư X509
a.Những trường cơ bản của chứng thư X.509:
- Version: xác định số phiên bản của chứng thư.
- Certificate Serial Number: do CA gán, là định danh duy nhất của chứng thư.
- Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng thư. Có thể là thuật
toán RSA hay DSA…
- Issuer: chỉ ra CA cấp và ký chứng thư.

chủ thể có nhiều hơn một khoá công khai).
- Key Usage: chứa một chuỗi bit được sử dụng để xác định (hoặc hạn chế) chức năng hoặc dịch
vụ được hỗ trợ qua việc sử dụng khoá công khai trong chứng thư.
- Extended Key Usage: chứa một hoặc nhiều OIDs (định danh đối tượng – Object Identifier) để
xác định cụ thể việc sử dụng khoá công trong chứng thư. Các giá trị có thể là : (1) xác thực server TLS,
(2) xác thực lient TLS, (3) Ký Mã, (4) bảo mật e-mail , (5) Tem thời gian.
- CRL Distribution Point: chỉ ra vị trí của CRL tức là nơi hiện có thông tin thu hồi chứng thư.
Nó có thể là URI (Uniform Resource Indicator)
- Private Key Usage Period: trường này cho biết thời gian sử dụng của khoá cá nhân gắn với
khóa công khai trong chứng thư.
- Certificate Policies: trường này chỉ ra dãy các chính sách OIDs gắn với việc cấp và sử dụng
chứng thư.
- Policy Mappings: trường này chỉ ra chính sách xác thực tương đương giữa hai miền CA. Nó
được sử dụng trong việc thiết lập xác thực chéo và kiểm tra đường dẫn chứng thư. Trường này chỉ có
trong chứng thư CA.
- Subject Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người sở hữu chứng thư.
Những giá trị có thể là: địa chỉ e-mail, địa chỉ IP, địa chỉ URI…
- Issuer Alternative Name: chỉ ra những dạng tên lựa chọn gắn với người cấp chứng thư.
- Subject Directory Attributes: trường này chỉ ra dãy các thuộc tính gắn với người sở hữu
chứng thư. Trường mở rộng này không được sử dụng rộng rãi. Nó được dùng để chứa những thông tin
liên quan đến đặc quyền.
- Basic Constraints Field: trường này cho biết đây có phải là chứng thư CA hay không bằng
cách thiết lập giá trị logic (true). Trường này chỉ có trong chứng thư CA. Chứng thư CA dùng để thực
hiện một số chức năng. Chứng thư này có thể ở một trong hai dạng. Nếu CA tạo ra chứng thư để tự sử
dụng, chứng thư này được gọi là chứng thư CA tự ký. Khi một CA mới được thiết lập, CA tạo ra một
chứng thư CA tự ký để ký lên chứng thư của người sử dụng cuối trong hệ thống. Và dạng thứ hai là CA
cấp chứng thư cho những CA khác trong hệ thống.
- Path Length Constraint: trường này chỉ ra số độ dài tối đa của đường dẫn chứng thư có thể
được thiết lập. Giá trị “zero” chỉ ra rằng CA chỉ có thể cấp chứng thư cho thực thể cuối , không cấp
chứng thư cho những CA khác. (Trường này chỉ có trong chứng thư của CA).

Thông thường chứng thư sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhưng trong một số
trường hợp chứng thư lại không hợp lệ trước thời gian hết hạn, ví dụ như:
- Khoá cá nhân của chủ thể bị xâm phạm .
- Thông tin chứa trong chứng thư bị thay đổi(người sở hữu chứng thư thay đổi vị trí, cơ quan…)
- Khoá cá nhân của CA cấp chứng thư bị xâm phạm
[Type text] Page 10
Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác
Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng thư là công bố
CRLs định kỳ hoặc khi cần thiết. Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử
dụng như dùng phương pháp trực tuyến Online Certificate Status Protocol
1. Certificate Revolation list (CRL)/Certificate Revolation list Scope (CRLs)
CRLs là cấu trúc dữ liệu được ký như chứng thư người sử dụng. CRLs chứa danh sách các
chứng thư đã bị thu hồi và những thông tin cần thiết khác của người sử dụng. CRL thường do một CA
cấp theo 1 chu kỳ nhất định. Tuy nhiên CRL cũng có thể được sử dụng để cung cấp thông tin cho nhiều
CA nếu nó được định nghĩa như một CRL gián tiếp. Những thông tin này được chứa trong trường mở
rộng CRL Scope.
Hình 9: Khuôn dạng danh sách chứng thư bị thu hồi
Trong đó:
- Version number: chỉ ra phiên bản của CRL.
- Signature: nhận biết loại hàm băm và thuật toán ký được sử dụng để ký danh sách thu hồi
CRL.
- Issuer: tên của thực thể cấp và ký CRL.
- This Update: chỉ ra ngày và thời gian CRL được công bố.
- Next Update: chỉ ra ngày và thời gian danh sách thu hồi kế tiếp được cấp.
- List of revoked certificates: chứa danh sách cùng với serial của những chứng thư bị thu hồi
Những chứng thư đã bị CA thu hồi được ghi vào danh sách theo thứ tự của revoked Certificates.
Mỗi đầu vào nhận biết chứng thư thông qua số serial và ngày thu hồi trên đó có ghi rõ thời gian và ngày
khi chứng thư bị CA thu hồi.
[Type text] Page 11
2. OCSP(Online Certificate Status Protocol):