Hạ tầng PKI và máy chủ chứng thực vạn năng
Phần mềm ràng buộc PKI và máy chủ vạn năng
Hiện nay hạ tầng PKI đã được sử dụng rộng rãi để cung cấp tính tin cậy cho các chứng thư số (CTS) của thuê bao thực hiện các dịch vụ chứng thực điện tử (CTĐT). Một hạ tầng PKI được triển khai hoạt động trực tuyến có thể đảm bảo tính tin cậy của các CTS một cách tức thời và cung cấp dịch vụ nhãn thời gian cho các tài liệu điện tử (TLĐT) cần được ký số.
Để thực hiện ký số cho các TLĐT thì ngoài việc sở hữu CTS, thuê bao còn cần đến phần mềm công cụ để ký CKS lên TLĐT. Phần mềm này phải kết nối đến hạ tầng PKI tương ứng để nhận dịch vụ tin cậy cho CTS và nhãn thời gian cho TLĐT. Các phần mềm này được gọi chung là phần mềm ràng buộc PKI và thường được tích hợp vào các ứng dụng tin học có nhu cầu ký số lên TLĐT trong hoạt động tác nghiệp.
Gần đây ứng dụng CKS thay đổi nhanh theo những chiều hướng sau:
- Mật mã khóa công khai tiến triển nhanh đòi hỏi phải thay đổi các thuật toán ký số hoặc nâng cao các tham số cho thuật toán ký số để đảm bảo an toàn cho CKS được sử dụng;
- Số lượng các yêu cầu về ký số đối với các TLĐT trong cùng một phần mềm ràng buộc PKI tăng lên nhiều khiến cho phần mềm này tự mình khó có đủ khả năng đáp ứng kịp thời chức năng ký số;
- Trong một hệ thống nhiều phần mềm tác nghiệp có nhu cầu ký số trên các TLĐT khác nhau với các kiểu ký số khác nhau có nhu cầu quản lý dõi vết và kiểm toán hay cảnh báo về hoạt động tác nghiệp đối với các TLĐT truyền hoặc lưu trữ trong hệ thống; cần có cách thức đơn giản hoặc thống nhất để có thể tích hợp chức năng ký số nhanh chóng và hiệu quả; độc lập với các nền hệ điều hành và hệ quản trị CSDL;
- Khi chính phủ điện tử được triển khai rộng rãi cũng như sự phát triển nhanh chóng của các ứng dụng CNTT thì các phần mềm ràng buộc PKI phải có khả năng dễ dàng mở rộng dịch vụ đáp ứng được những nhu cầu CKS mới xuất hiện mà không phải sửa đổi nhiều hoặc thay bỏ chúng.
Mô hình ứng dụng Client – Server được thiết kế để xây dựng phần mềm ràng buộc PKI đáp ứng tốt nhất những yêu cầu nêu trên.
Trong mô hình này, phía Client chỉ thực hiện tối thiểu khối lượng tính toán cho dịch vụ CTĐT và sẽ gửi đến phía Server các yêu cầu cần thiết và nhận trở về thông báo kết quả đáp ứng các yêu cầu.
Một trong những sản phẩm máy chủ CTĐT vạn năng kiểu Client – Server là ADSS Server, được hãng Ascertia cung cấp. Máy chủ CTĐT vạn năng có bốn loại giao diện với máy khách là: Bộ hàm chức năng Java&.NET API có thể tích hợp vào ứng dụng ràng buộc PKI tùy ý được phát triển từ
đầu; Giao diện với ứng dụng dựa trên Web nhận Web Server làm Gateway; Giao diện với một thư mục được theo dõi thông qua ứng dụng xử lý tệp tự động Auto File Processor và Giao diện với máy chủ thư điện tử sử dụng Secure eMail Server.
Tính năng công nghệ của máy chủ CTĐT vạn năng
Các tính năng công nghệ của máy chủ CTĐT vạn năng và tương tác với các ứng dụng khác được thể hiện như sau:
Chức năng giao tiếp với hạ tầng PKI
Các giao tiếp giữa máy chủ CTĐT vạn năng và hạ tầng PKI vẫn tuân theo các giao thức tương tự như giao tiếp giữa một ứng dụng ràng buộc với hạ tầng PKI và máy chủ tem thời gian TSA truyền thống.
Giao thức thường được sử dụng thông qua HTTP chuẩn. Máy chủ CTĐT vạn năng lúc này đóng vai trò của ứng dụng ràng buộc với hạ tầng PKI và máy chủ tem thời gian TSA để nhận được các dịch vụ cần thiết. Điều khác biệt là máy chủ CTĐT vạn năng có khả năng tính toán và kết nối cao hơn nhiều so với các ứng dụng ràng buộc PKI.
Chức năng giao tiếp với máy khách
Các ứng dụng ràng buộc PKI trong trường hợp này không làm việc trực tiếp với hạ tầng PKI mà thông qua máy chủ đại diện là máy chủ CTĐT vạn năng. Để trở thành trình khách của máy chủ CTĐT vạn năng, các ứng dụng ràng buộc với hạ tầng PKI truyền thống cần đến hai loại dịch vụ là: Tạo ra và kiểm tra tính hợp lệ của CKS; Cung cấp tem thời gian TSA, Kiểm tra tính hợp lệ của OCSP. Dịch vụ kiểm tra tính hợp lệ của CTS sẽ dựa trên hạ tầng PKI.
Giao thức giữa máy khách và máy chủ là giao diện dịch vụ Web kiểu SOAP/XML, còn dịch vụ hạ tầng PKI sẽ được truy cập trên giao diện HTTP/S. Các yêu cầu ứng dụng sẽ có thể được gói trong thông báo SOAP hay trong thông báo HTTP chuẩn để gửi đến máy chủ CTĐT vạn năng.
Máy chủ CTĐT vạn năng sẽ trả lại với câu trả lời XML trong thông báo SOAP hay trong thông báo HTTP chuẩn.
Các loại phần mềm khách phổ biến
Về nguyên tắc, bất kỳ phần mềm tác nghiệp tin học nào có nhu cầu về dịch vụ CKS đều có thể tích hợp vào máy chủ CTĐT vạn năng. Nhiều phần mềm tác nghiệp tin học mô phỏng theo mô hình Client – Server. Phần mềm khách của máy chủ CTĐT vạn năng sẽ được tích hợp vào Server của các phần mềm tác nghiệp tin học, vì thế nhu cầu về dịch vụ CKS thường rất lớn và đòi hỏi cấu hình tính toán cũng phải lớn.
Giao diện với phần mềm tác nghiệp tin học
Có bốn loại giao diện giữa ứng dụng ràng buộc PKI và máy chủ CTĐT vạn năng là: Các giao diện dịch vụ Web SOAP/XML với các hàm mã API của Java và .Net; Giao diện các thư mục được theo dõi sử dụng ứng dụng cung cấp dịch vụ xử lý tệp tự động Auto File Processor kết nối máy chủ CTĐT vạn năng; Giao diện Email sử dụng máy chủ Secure Email Server kết nối với máy chủ CTĐT vạn năng; Giao diện ứng dụng Web sử dụng Web Server làm Gateway kết nối với máy chủ CTĐT vạn năng.
Các loại định dạng TLĐT được sử dụng
Các ứng dụng ràng buộc PKI có thể xử lý các loại thông tin và dữ liệu dưới dạng file .PDF, Word, Excel, AutoCAD, PDF, Project, Visio,... dữ liệu XML và các dữ liệu Web - Form.
Bản thân máy chủ CTĐT vạn năng có thể ký số các hóa đơn tài liệu, ký số đại diện cho nhóm người dùng sử dụng khóa được sinh và lưu trữ trên chính máy chủ CTĐT vạn năng. Nhóm người dùng cũng có thể ký số tại phía ứng dụng khách sử dụng các khóa cục bộ và các CTS trên các thẻ thông minh Smartcards hay các thẻ USB Token.
Các chuẩn CKS được sử dụng
Các chuẩn về định dạng CKS rất đa dạng như PDF, XML DSig, S/MIME, PKCS#7, CMS, PKCS#1 hay các chuẩn dài hạn như CadES, XadES, PDF.
Các loại chuẩn CKS mới xuất hiện trong tương lai có thể được tích hợp vào trong máy chủ CTĐT vạn năng một cách dễ dàng và mềm dẻo.
Khả năng tùy biến tham số mật mã ký số
Các độ dài khóa được ứng dụng có thể rất linh hoạt như RSA 1024, 2048, 4096 với SHA- 1 và SHA- 2.
Các chuẩn CKS cũng như các tham số mật mã mới sẽ được cập nhật vào máy chủ CTĐT vạn năng khi có nhu cầu.
Khả năng độc lập với nền hệ điều hành và các hệ quản trị CSDL
Do được phát triển bởi công nghệ J2EE nên các máy chủ CTĐT vạn năng không phụ thuộc vào nền hệ điều hành và chúng có thể chạy trên Windows Server, Solaris, Linux hay các hệ điều hành đang sẵn có tùy theo yêu cầu cụ thể.
Đối với các hệ quản trị CSDL, máy chủ vạn năng cho phép sử dụng SQL Server, Oracle, PostgreSQL, MySQL hay các hệ quản trị CSDL khác theo yêu cầu để quản lý lưu trữ các tài liệu và dữ liệu.
Khả năng sử dụng USB Token
Đặc biệt, máy chủ CTĐT vạn năng sử dụng các thẻ cứng an toàn như SafeNet, nCipher, USB token tuân theo chuẩn PKCS#11 với độ an toàn vận hành cao. Bên cạnh đó, khả năng sử dụng các thẻ an toàn mềm cũng rất linh hoạt và thuận tiện.
Khả năng mở rộng
Máy chủ CTĐT vạn năng sử dụng J2EE cho phép mở rộng công nghệ phát triển cả về phạm vi tính năng và mức độ chuyên sâu một cách dễ dàng. Có thể tăng thêm nhiều loại tùy chọn xung quanh các ứng dụng CTĐT và tùy mức can thiệp vào các ứng dụng tác nghiệp tin học có nhu cầu về CTĐT mà chọn mức tích hợp lập trình cho phù hợp. Bên cạnh công nghệ Java thì công nghệ .Net sử dụng C# cũng được ứng dụng dễ dàng thuận tiện.
Kịch bản ứng dụng máy chủ CTĐT vạn năng phổ biến
Giải pháp máy chủ CTĐT vạn năng ứng dụng cho máy chủ thư an toàn để giúp người sử dụng trong nội bộ gửi email cho người sử dụng bên ngoài có thể ký vào email trước khi gửi đi được minh họa theo kịch bản ở hình sau đây:
Trong kịch bản này, người sử dụng nội bộ không có khả năng ký số vào email gửi người sử dụng bên ngoài, máy chủ thư an toàn cũng không có chức năng này. Muốn tạo khả năng ký số cho người sử dụng bên trong khi gửi email cho người sử dụng ngoài được thi máy chủ thư an toàn sẽ giao tiếp với Máy chủ CTĐT vạn năng để nhờ ký số cho tệp đích kèm hay toàn bộ nội dung email, hay giá trị tóm lược của nội dung email rồi gửi email có ký số cho người sử dụng bên ngoài.
Đến lượt mình, để ký số được thư, máy chủ CTĐT vạn năng sẽ nhờ đến các dịch vụ về tem thời gian, về các CTS, về danh sách CTS bị gỡ bỏ CRL và về dịch vụ trạng thái chứng thư trực tuyến OCSP do bất kỳ TSA nào, bất kỳ CA nào hay bất kỳ OCSP Server nào của Hạ tầng PKI cung cấp, miễn là đáng tin cậy.
Như vậy, dịch vụ ký số vừa trong suốt đối với người sử dụng, vừa đạt được độ tin cậy mong muốn vì được đảm bảo bằng dịch vụ CTĐT sử dụng CTS và CKS.
Việc kiểm tra CKS trên email khi người trong nội bộ nhận được cũng tương tự quy trình trên, tuy nhiên khi kiểm tra tính hợp lệ của CKS không cần phải xuất trình khóa bí mật.
Trong trường hợp nhu cầu ký số lớn, ứng với nhiều máy chủ CTĐT vạn năng thì cần sử dụng thiết bị cân bằng tải (Load Balancer) để điều phối các yêu cầu ký số của người sử dụng.
Kết luận
Các máy chủ CTĐT vạn năng tạo cho các ứng dụng tác nghiệp tin học khả năng CTĐT một cách linh hoạt và hiệu quả mà cơ chế phần mềm ràng buộc PKI thông thường không dễ dàng đáp ứng được. Khó có thể làm cho một ứng dụng tác nghiệp tin học thực hiện mọi dịch vụ CTĐT nếu không sử dụng máy chủ CTĐT vạn năng. Một ứng dụng tác nghiệp tin học khi sử dụng phải sửa đổi rất ít hoặc hầu như không phải sửa đổi nhờ giao diện với máy chủ CTĐT vạn năng. Ngoài ra, với máy chủ CTĐT vạn năng, các ứng dụng tác nghiệp tin học có nhu cầu về CTĐT không cần đến bất kỳ máy chủ nào khác vì máy chủ CTĐT vạn năng đã thay ứng dụng này thực hiện các chức năng cần thiết kể cả giao diện với hạ tầng PKI hay máy chủ gắn nhãn thời gian TSA.
Trước đây, để có được điều này chúng ta phải tích hợp dịch vụ CTĐT vào chính ứng dụng tác nghiệp tin học và không có được nhiều các khả năng tính toán và xử lý, nên các dịch vụ CTĐT chưa phong phú và đầy đủ.
Việc triển khai chính phủ điện tử và nhu cầu sử dụng TLĐT gia tăng nhanh chóng thì xu hướng chuyển sang máy chủ CTĐT vạn năng sẽ là tất yếu và chúng ta cũng cần cần đầu tư nghiên cứu để theo kịp xu hướng phát triển CTĐT trên thế giới.