Trong mật mã học, hạ tầng khóa công khai (tiếng Anh: public key infrastructure, viết tắt PKI) là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được phân phối trong chứng thực khóa công khai.
Khái niệm hạ tầng khóa công khai (PKI) thường được dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mật mã hóa khóa công khai trong trao đổi thông tin. Tuy nhiên phần sau được bao gồm không hoàn toàn chính xác bởi vì các cơ chế trong PKI không nhất thiết sử dụng các thuật toán mã hóa khóa công khai.
Mục tiêu và những tính năng[sửa|sửa mã nguồn]
PKI được cho phép những người tham gia xác nhận lẫn nhau và sử dụng thông tin từ những xác nhận khóa công khai minh bạch để mật mã hóa và giải thuật thông tin trong quy trình trao đổi. Thông thường, PKI gồm có ứng dụng máy khách ( client ), ứng dụng máy chủ ( server ), phần cứng ( như thẻ mưu trí ) và những tiến trình hoạt động giải trí tương quan. Người sử dụng cũng hoàn toàn có thể ký những văn bản điện tử với khóa bí hiểm của mình và mọi người đều hoàn toàn có thể kiểm tra với khóa công khai minh bạch của người đó. PKI được cho phép những thanh toán giao dịch điện tử được diễn ra bảo vệ tính bí hiểm, toàn vẹn và xác nhận lẫn nhau mà không cần phải trao đổi những thông tin mật từ trước .
Mô hình tiêu biểu vượt trội[sửa|sửa mã nguồn]
Hầu hết các hệ thống PKI quy mô doanh nghiệp đều dựa trên các chuỗi chứng thực để xác thực các thực thể. Chứng thực của người dùng sẽ được một nhà cung cấp chứng thực số cấp, đến lượt nhà cung cấp này lại có chứng thực được một nhà cung cấp khác ở cấp cao hơn tạo ra… Hệ thống sẽ bao gồm nhiều máy tính thuộc nhiều tổ chức khác nhau với các gói phần mềm tương thích từ nhiều nguồn khác nhau. Vì vậy, các tiêu chuẩn là yếu tố rất quan trọng đối với hoạt động của các PKI. Hầu hết các tiêu chuẩn về PKI hiện tại được soạn thảo bởi nhóm làm việc PKIX của IETF.
Các mạng lưới hệ thống PKI doanh nghiệp thường được tổ chức triển khai theo quy mô danh bạ trong đó khóa công khai minh bạch của mỗi người dùng được tàng trữ ( bên trong những xác nhận số ) kèm với những thông tin cá thể ( số điện thoại thông minh, email, địa chỉ, nơi thao tác … ). Hiện nay, công nghệ tiên tiến danh bạ tiên tiến và phát triển nhất là LDAP và định dạng xác nhận thông dụng nhất ( X. 509 ) cũng được tăng trưởng từ quy mô nhiệm kỳ trước đó của LDAP ( X. 500 ) .
Các lựa chọn khác[sửa|sửa mã nguồn]
Mạng lưới tin tưởng[sửa|sửa mã nguồn]
Một phương pháp khác để nhận thực khóa công khai minh bạch là quy mô mạng lưới tin tưởng ( web of trust ). Trong quy mô này, mỗi người sử dụng tự ký xác nhận cho mình và những bên thứ 3 ( không tham gia trực tiếp vào phiên thanh toán giao dịch ) kiểm chứng những chữ ký đó. Các ví dụ về quy mô này là GPG ( The GNU Privacy Guard ) và PGP ( Pretty Good Privacy ). Do PGP và những biến thể của nó được sử dụng thoáng đãng trong email nên quy mô mạng lưới tin tưởng triển khai bởi PGP đang là phương pháp thực thi PKI 2 chiều phổ cập nhất ( thời gian năm 2004 ) .
Hạ tầng khóa công cộng đơn thuần[sửa|sửa mã nguồn]
Hạ tầng khóa công cộng đơn thuần ( SPKI ) là một phương pháp triển khai PKI mới được tăng trưởng để khắc phục sự phức tạp của giao thức X. 509 và sự tự phát của quy mô tin tưởng PGP. SPKI gắn trực tiếp mỗi thực thể ( người sử dụng / mạng lưới hệ thống ) với một khóa sử dụng quy mô tin tưởng nội bộ ( local trust Model ). Mô hình này về cơ bản giống quy mô mạng lưới tin tưởng của PGP có bổ trợ thêm phần cấp phép .
Nhà phân phối xác nhận số tự động hóa ( Robot CA )[sửa|sửa mã nguồn]
Các rô bốt CA là những chương trình máy tính tự động hóa có năng lực kiểm tra và xác nhận 1 số ít góc nhìn của khóa công cộng. Các rô bốt này hoàn toàn có thể làm giảm đáng kể những tiến công vào mạng lưới hệ thống, đặc biệt quan trọng là những tiến công nhằm mục đích vào việc làm chệch hướng những luồng thông tin trên mạng. Các góc nhìn của khóa công cộng thường được kiểm tra là ( a ) khóa được công bố dưới nhận thức của người sở hữu địa chỉ email gắn với khóa ( b ) người sở hữu địa chỉ email đang có khóa bí hiểm ( c ) thực trạng sử dụng khóa .
Việc Diffie, Hellman, Rivest, Shamir, và Adleman công bố khu công trình điều tra và nghiên cứu về trao đổi khóa bảo đảm an toàn và thuật toán mật mã hóa khóa công khai minh bạch vào năm 1976 đã làm đổi khác trọn vẹn phương pháp trao đổi thông tin mật. Cùng với sự tăng trưởng của những mạng lưới hệ thống truyền thông điện tử vận tốc cao ( Internet và những mạng lưới hệ thống trước nó ), nhu yếu về trao đổi thông tin bí hiểm trở nên cấp thiết. Thêm vào đó một nhu yếu nữa phát sinh là việc xác lập định dạng của những người tham gia vào quy trình thông tin. Vì vậy sáng tạo độc đáo về việc gắn định dạng người dùng với xác nhận được bảo vệ bằng những kỹ thuật mật mã đã được tăng trưởng một cách can đảm và mạnh mẽ .Nhiều giao thức sử dụng những kỹ thuật mật mã mới đã được tăng trưởng và nghiên cứu và phân tích. Cùng với sự sinh ra và thông dụng của World Wide Web, những nhu yếu về thông tin bảo đảm an toàn và nhận thực người sử dụng càng trở nên cấp thiết. Chỉ tính riêng những nhu yếu ứng dụng cho thương mại ( như thanh toán giao dịch điện tử hay truy vấn những cơ sở tài liệu bằng trình duyệt web ) cũng đã đủ mê hoặc những nhà tăng trưởng nghành này. Taher ElGamal và những tập sự tại Netscape đã tăng trưởng giao thức SSL ( https trong địa chỉ web ) trong đó gồm có thiết lập khóa, nhận thực máy chủ … Sau đó, những thiết chế PKI được tạo ra để ship hàng nhu yếu truyền thông online bảo đảm an toàn .
Các nhà doanh nghiệp kỳ vọng vào một thị trường hứa hẹn mới đã thành lập những công ty hoặc dự án mới về PKI và bắt đầu vận động các chính phủ để hình thành nên khung pháp lý về lĩnh vực này. Một dự án của American Bar Association đã xuất bản một nghiên cứu tổng quát về những vấn đề pháp lý có thể nảy sinh khi vận hành PKI (xem thêm: các hướng dẫn chữ ký số ABA). Không lâu sau đó, một vài tiểu bang của Hoa kỳ mà đi đầu là Utah (năm 1995) đã thông qua những dự luật và quy định đầu tiên. Các nhóm bảo vệ quyền lợi người tiêu dùng thì đặt ra các vấn đề về bảo vệ quyền riêng tư và các trách nhiệm pháp lý.
Tuy nhiên, những luật và pháp luật đã được thông qua lại không thống nhất trên quốc tế. Thêm vào đó là những khó khăn vất vả về kỹ thuật và quản lý và vận hành khiến cho việc thực thi PKI khó khăn vất vả hơn rất nhiều so với kỳ vọng bắt đầu .Tại thời gian đầu thế kỷ 21, người ta nhận ra rằng những kỹ thuật mật mã cũng như những quy trình tiến độ / giao thức rất khó được triển khai đúng mực và những tiêu chuẩn hiện tại chưa phân phối được những nhu yếu đề ra .Thị Trường PKI thực sự đã sống sót và tăng trưởng nhưng không phải với quy mô đã được kỳ vọng từ những năm giữa của thập kỷ 1990. PKI chưa xử lý được 1 số ít yếu tố mà nó được kỳ vọng. Những PKI thành công xuất sắc nhất tới nay là những phiên bản do những cơ quan chính phủ triển khai .
Một số ứng dụng[sửa|sửa mã nguồn]
Mục tiêu chính của PKI là phân phối khóa công khai minh bạch và xác lập mối liên hệ giữa khóa và định dạng người dùng. Nhờ vậy người dùng hoàn toàn có thể sử dụng trong 1 số ít ứng dụng như :
Một số mạng lưới hệ thống PKI[sửa|sửa mã nguồn]
Dưới đây là list một số ít mạng lưới hệ thống PKI, trong đó 1 số ít nhà phân phối xác nhận số số 1 ( ví dụ VeriSign ) không được liệt kê vì những ứng dụng của họ không được công bố công khai minh bạch .
