<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

HỌC VIEN CƠNG NGHỆ BƯU CHÍNH VIÊN THONG

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

Người hướng dẫn khoa học: PGS.TSKH Hoàng Đăng Hải

<small>Phản biện 1: PGS.TS Bùi Thu Lâm</small>

Phản biện 2: TS. Nguyễn Tuấn Anh

Luận văn được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Cơng nghệ Bưu chính Viễn thơng

<small>Vào lúc: 14 giờ 45 ngày 20 tháng 9 năm 2015</small>

<small>Có thê tìm hiêu luận văn tại:</small>

- Thư viện của Học viện Công nghệ Bưu chính Viễn thơng

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

MỞ ĐẦU

Hiện có hai loại hình giao dịch: giao dịch điện tử và giao dịch truyền thống. Giao dịch

truyền thống có những mặt hạn chế về không gian và thời gian, giao dịch điện tử là giao dịch

<small>được thực hiện thông qua các phương tiện điện tử và cũng có giá trị pháp lý như nó được ghi</small>

chép, hoặc mơ tả bằng văn bản theo phương pháp truyền thống.Hầu hết các thông tin nhạy cảm và quan trọng được lưu trữ và trao đổi đưới hình thức điện tử trong các cơ quan văn phòng, doanh nghiệp. Sự thay đổi trong các hoạt động truyền thơng này đồng nghĩa với việc

cần phải có biện pháp bảo vệ trước nguy cơ lừa đảo, can thiệp, tan công, phá hoại hoặc vô tinh

để lộ các thơng tin đó. Hạ tầng khố cơng khai (PKI — Public Key Infrastructure) cùng các tiêu chuẩn và công nghệ ứng dụng của nó có thê coi là một giải pháp tổng hợp, độc lập có thê sử dụng dé giải quyết van dé: ai dang giao dich? (tính xác thực), thơng tin gửi đi có bị nghe (xem) trộm? (tính bí mật), dữ liệu gửi, nhận được có bị sửa đổi hay khơng? (tính tồn vẹn), chối bỏ hành động đã thực hiện (tính chống chối bỏ).

Thực tế phát triển của các hạ tầng PKI làm xuất hiện nhiều miền PKI đứng tách biệt nhau

như những ốc đảo. Các miền PKI này chỉ cung cấp các dịch vụ chứng thực điện tử cho những thực thể đầu cuối, với cùng các chứng thư số do các miền PKI này cấp phát và duy trì cung cấp các dịch vụ tin cậy cần thiết. Điều này dẫn đến việc, chỉ những thực thể đầu cuối có các chứng

thư số được cấp phát bởi cùng một miền PKI thì mới có thể giao dịch chứng thực điện tử với

nhau. Các thực thê đầu cuối thuộc về các miền PKI khác nhau muốn giao dịch với nhau cần

phải được cấp phát các chứng thư số khác nhau tương ứng. Một thực thể đầu cuối có thể phải

có được các chứng thư số khác nhau từ các miền PKI khác nhau dé giao dịch với các dịch vụ chứng thực điện tử. Các giao dich này tách rời nhau nên rất bất tiện khi làm việc với cùng một đối tượng tài liệu điện tử liên quan đến nhiều giao dịch điện tử với các chứng thư số khác

Hiện nay trên thế giới, các quốc gia thường ứng dụng mơ hình CA cầu nối và danh sách tin cậy. Ứng dụng của các mơ hình khác sẽ được tiếp tục thử nghiệm trong tương lai, khi có

những nhu cầu và điều kiện thích hợp. Các miền PKI tách biệt cần đến các mô hình liên tác tại phía thượng tầng, nhưng chưa phải là điều kiện đủ. Đề cho từng người sử dụng thuộc các miền PKI khác nhau có thể giao dịch với nhau chỉ với duy nhất một chứng thư số thì cịn cần đến

tương thích hoạt động giữa các miền PKI và sự tin cậy giữa các miền đó. Chỉ khi có được mơ

hình liên tác và tương thích hoạt động giữa các miền PKI thì mới thực sự có giao dịch giữa

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

những người sử dụng chứng thư số trong các miền PKI này. Mở rộng miền tin cậy trong chứng thực các giao dịch là một nhu cau thực tế, góp phan tạo ra một mơi trường an tồn ngày càng rộng lớn, tạo dựng được sự tin tưởng của người sử dụng, nâng cao hiệu quả trong vấn đề

<small>bao mật thông tin.</small>

Trên cơ sở lý luận và thực tiễn nêu trên, học viên lựa chọn đề tài “Nghiên cứu mở rộng miền tin cậy của hệ thống chứng thực và ứng dụng trong quản lý hồ sơ” cho luận văn của

<small>mình. Luận văn này nghiên cứu về van đề mở rộng miền tin cậy trong PKI, từ đó nghiên cứu</small>

xem xét về các mơ hình liên tác PKI có thể xảy ra trên thực tế ứng dụng và triển khai thử nghiệm một kiến trúc hệ thống PKI có mở rộng miền tin cậy vào một ứng dụng thực tiễn.

Bài luận văn gồm ba chương chính với các nội dung chủ yếu như sau.

- Chương 1 trình bày tổng quan về hạ tang khóa công khai PKI, các thành phan cơ bản

cua PKI, hoạt động của PKI, các dịch vụ cơ bản của PKI, một số nội dung chính liên quan đến PKI như hàm băm, chữ ký số, chứng thực số. Nêu nhu cau và van đề trong mở rộng miền tin

cậy của hệ thống chứng thực.

- Chương 2 trình bày về mơ hình miền tin cậy và phương pháp mở rộng miền tin cậy trong kiến trúc PKI. Các nội dung được đề cập và phân tích bao gồm: các mơ hình tin cậy, sự cần thiết phải mở rộng miền tin cậy, van đề đặt ra khi mở rộng miền tin cậy, các loại chứng thư

và giao thức cần sử dụng cho mơ hình mở rộng miễn tin cậy.

- Chương 3 trình bày phần xây dựng và triển khai thử nghiệm một hệ thống PKI có mở

rộng miễn tin cậy, cho phép chứng thực chéo cho một ứng dụng cụ thé là quản lý hồ sơ, công văn tại Công ty NCS- nơi học viên đang công tác. Các kết quả triển khai thử nghiệm gói phan mềm EJBCA cho hệ thong PKI/CA đã thé hiện tính ưu việt của mơ hình tin cậy mở rộng trong

<small>ứng dụng thực tiễn.</small>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

CHƯƠNG 1. TONG QUAN VE HẠ TANG KHOA CƠNG KHAI

Chương này trình bày tổng quan về ha tang khóa cơng khai PKI, các thành phan cơ bản của PKI, hoạt động của PKI, các dịch vụ cơ bản cua PKI, một số nội dung chính liên quan

đến PKI như hàm băm, chữ ký 56, chứng thư số.

1.1. Hạ tầng khóa cơng khai (Public key insfrastructure)

<small>111. Khái niệm PKI</small>

Public Key Infrastructure (PKI) là một tập hợp các phan cứng, phần mềm, con người, các chính sách và các thủ tục cần thiết để tạo, quản lý, lưu trữ, phân phối và thu hồi các chứng thư khố cơng khai dựa trên mật mã khố cơng khai. Đó là cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thư số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đối thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thong một

cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung

tâm và các phần mềm khác tại các địa điểm của người dùng. Khố cơng khai thường được phân phối trong chứng thư khóa cơng khai (PKI).

1.12. Thành phan cơ bản của một PKI

1.13. Hoạt động của hệ thong PKI

Bang sau đây minh họa cho tiến trình của chữ ký điện tử và độ tin cậy cao đáp ứng cho yêu

cầu giao dịch điện tử an toàn của Bob và Alice.

Bang 1-1: Bảng minh họa tiến trình của chữ ký điện tử

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<small>Hành động</small> Trạng thái của hệ thông PKI

Bob muốn chuyên một thư điện tử đến

cho Alice, với yêu cầu rằng giao dịch phải

<small>chứng minh được chính anh đã gởi nó đi</small>

và nội dung bức thư không bi thay đối.

Phần mềm PKI dùng khóa cá nhân

<small>của Bob tạo ra một chữ ký điện tử</small>

<small>cho bức thư.</small>

<small>Bob muôn chac chăn rang không ai ngoài</small>

<small>Alice đọc được bức thu nay.</small>

Phan mêm PKI của Bob dùng khóa cơng cộng của Alice để mã hóa

<small>thơng điệp của Bob.</small>

Alice muốn đọc thư do Bob gởi. ^{Phân mém PKI dùng khóa cá nhân} của Alice dé dé giải mã thơng điệp. Alice mn kiểm chứng răng chính Bob

<small>đã gởi đi thơng điệp đó và nội dung thơng</small>

Phan mềm PKI của Alice dùng

<small>khóa cơng cộng của Bob đê kiêmđiệp không bị chỉnh sửa. chứng chữ ký điện tử của anh ta.</small>

<small>1.1.4. Cac tiên trình trong PKI</small>

<small>Phát hành và kiểm Certificate Validation</small>

<small>sốt chứng thư Authority (CA) Authority (VA)</small>

<small>khóa cơng khai 4</small>

<small>- ~~ Thông tin không hợp lệ - ~~</small>

<small>Authority (RA) ennk khóa cơng khai Chứng thư \ \ Kết quả được</small>

<small>khóa cơng khai oa xác định</small>

<small>Khoa riêng = thư khóa cơng khai</small>

<small>Hình 1-2 : Các tiên trình trong PKI</small>

<small>1.15. Luật pháp và chính sách trong PKI</small>

<small>Tat cả các mơ hình chữ ký sô cân phải đạt được một sô yêu câu đê có thê được chap nhận</small>

trong thực tế như : chất lượng của thuật toán, chất lượng của phần mềm, phần cứng thực hiện

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

thuật toán, khố bí mật phải được giữ an tồn, q trình phân phối khố cơng khai phải đảm bảo mối liên hệ giữa khoá và thực thể sở hữu khoá là chính xác, những người sử dụng (và phần mềm) phải thực hiện các quá trình đúng thủ tục. Chỉ khi tất cả các điều kiện trên được thoả mãn thì chữ ký số mới là bang chứng xác thực người chủ ( hoặc người có thẩm quyền )

<small>của văn bản.</small>

<small>1.2. Cac dịch vụ của PKI</small>

12.1. Dịch vụ cốt lõi của PKI

PKI được kết hợp từ 3 dịch vụ cơ bản sau:

<small>- _ Xác thực (Authentication)- Tinh toàn ven (Integrity)</small>

<small>- Tinh bí mat (Confidentiality)</small>

12.2. Các dịch vu PKI hỗ trợ

Là các dịch vụ được hỗ trợ bởi PKI theo một cách nào đó, đây là các dịch vụ vốn khơng

phải của PKI nhưng có thé xây dựng trên các dịch vụ cốt lõi của PKI.

Hàm băm mật mã học (Cryptographic hash function) là một hàm băm với một số tính chất bao mật nhất định dé phù hợp việc sử dung trong nhiều ứng dụng bảo mật thông tin đa dang, chang hạn như chứng thực và kiểm tra tính nguyên ven của thông điệp. Một hàm băm nhận

đầu vào là một xâu ký tự dài (hay thơng điệp) có độ dài tùy ý và tạo ra kết quả là một xâu ký tự

có độ dài có định, đơi khi được gọi là tóm tắt thơng điệp (message digest) hoặc chữ ký số.

<small>- Thuật toán ham bam MDS.</small>

- Chuan băm an toàn SHS.

13.12. Chit ký số

Chữ ký số (Digital Signature) là một dạng chữ ký điện tử, an toàn nhất và cũng được sử

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<small>dụng rộng rãi nhất trong các giao dịch điện tử hiện nay trên thé giới. Chữ ký số hình thành dựa</small>

trên nền tang hạ tầng khóa cơng khai (Public key infrastructure - PKI), kỹ thuật này bao gồm

<small>một cặp khóa : khóa bí mật và khóa cơng khai. Trong đó, khóa bí mật được người gửi sử dụng</small>

dé ký (hay mã hóa) một dữ liệu điện tử, cịn khóa cơng khai được người nhận sử dụng dé mở

<small>dữ liệu điện tử đó (giải mã) và xác thực danh tính người gửi.</small>

- Thuật tốn chữ ký số RSA

- Thuật toán chữ ký số DSA

13.2. Cơ chế cấp phát và xác thực chứng thư số

Trong mật mã học, chứng thư khóa cơng khai (cịn gọi là chứng thư s6/ chứng thư điện tử) là một chứng thư sử dụng chữ ký số để gắn một khóa công khai với một thực thể (cá nhân, máy chủ hoặc cơng ty...). Một chứng thư khóa cơng khai tiêu biểu thường bao gồm khóa cơng

khai và các thơng tin (tên, địa chỉ...) về thực thể sở hữu khóa đó. Chứng thư điện tử có thể

được sử dụng dé kiểm tra một khóa cơng khai nao đó thuộc về ai. 1.3.2.1. Cap phát chứng thư số

Quy trình cấp phát chứng thư số như sau:

<small>()_ Sinh cặp khóa ngẫu nhiên (PKI client)</small>

(2) Tao chữ ký sé

(3) Cấp phat chứng thư số

<small>(4) Thu hồi va cấp phát lại chứng thư sỐ</small>

1.3.2.2. Xác thực chứng thư số

Khi A gửi một thông tin kèm chứng thư số, người nhận B sẽ xác định rõ được danh tính của A. Có nghĩa là dù khơng nhìn thấy A, nhưng qua hệ thống chứng thư số ma A và B cùng sử dụng, B sẽ biết chắc chắn đó là A chứ khơng phải là một người khác. Xác thực là một tính

năng rất quan trọng trong việc thực hiện các giao dịch điện tử qua mạng. Các hoạt động này

<small>cần phải xác minh rõ người gửi thông tin dé sử dung tư cách pháp nhân.</small>

Một người thứ 3 bat kỳ đều có thé kiểm tra được tính đúng đắn của 1 chứng thực số. Bằng cách PKI client sẽ cung cấp 1 dich vụ xác thực. Người dùng có thé nhập vào ID của 1 chứng

thực số bat kỳ cần kiểm tra và gửi thông tin đó lên server. Nếu chứng thực số ton tại server sẽ

trả lại thông báo cho client vừa kiểm tra.

1.4. Tom tắt chương

Chương 1 đã trình bày tổng quan về PKI và các nội dung liên quan đến PKI như: thành

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

phần kiến trúc, dịch vụ, hàm băm, chữ ký số, chứng thư số. PKI được coi là một giải pháp tổng hợp trong bảo đảm an tồn thơng tin và giao dịch điện tử. Trong chương tiếp theo, luận

<small>văn trình bày chi tiét hơn vê van dé và các phương pháp mở rộng miên tin cậy này.</small>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

CHƯƠNG 2. MƠ HÌNH TIN CẬY VÀ PHƯƠNG PHÁP MỞ

RONG MIEN TIN CẬY TRONG PKI

<small>Chương này trình bày về mơ hình miên tin cậy và phương pháp mở rộng miên tin cậytrong kiên trúc PKI. Các nội dung được dé cập và phân tích bao gém: các mơ hình tin cậy, sựcan thiết phải mở rộng miên tin cậy, van dé đặt ra khi mở rộng miên tin cậy, các loại chứng</small>

<small>thư và giao thức cân sử dụng cho mơ hình mở rộng miên tin cậy.</small>

2.1. _ Miền tin cậy và sự cần thiết mở rộng miễn tin cậy trong PKI

PKI được triển khai bởi nhiều tổ chức như là công cụ dé bảo vệ những tài nguyên nhạy cảm. Tuy nhiên, với những nhu cầu, quy trình và sự phức tạp khác nhau trong mỗi cơng việc, chỉ một mơ hình được chuẩn hóa cho PKI hồn tồn khơng linh hoạt. Vì lý do đó, có nhiều mơ hình PKI khác nhau mà mỗi tơ chức có thể triển khai để phù hợp nhất với nhu cầu của họ. Tuy vậy, cho đù mơ hình PKI nào được triển khai, một thứ quan trọng trong cốt lõi của mỗi mơ hình đó chính là sự tin cậy. CA giúp thiết lập cho việc nhận dạng của các chủ thể giao tiếp với

nhau được đúng đắn.

Tin cay (Trust) là một phương diện trong mối quan hệ giữa hai thực thể A và B. A tin cậy

B khi A giả sử rằng B sẽ hành động đúng như A mong đợi (X509 2000). Miền tin cậy (trust domain) là một cộng đồng hoạt động dưới một điều khiển chung, cùng tiêu chí, tuân theo cùng

quy tắc, chính sách trong đó, các cá thể thiết lập được các mối quan hệ, và mơ hình hoạt động

với một mức tin cậy cao nhất. Mỗi một miền tin cậy sẽ có những mơ hình tin cậy khác nhau. Bản chất của việc chứng thực là chứng nhận cặp khóa thuộc về một chủ thé thông qua

phương tiện cụ thé là chứng thu số. Người dùng tin cậy vào tổ chức chứng thực (thầm quyền

chứng thực - CA) nên nhờ tô chức chứng thực đứng ra chứng thực cặp khóa (chứng thư sỐ). Thuê bao và relying party khi sử dụng chứng thu số đều tin cậy vào thâm quyền chứng thực (CA), tin cậy rằng chứng thư số do CA phát hành ra chứa thơng tin về khóa cơng khai của một chủ thé xác định. Tất cả thuê bao và relying party tin cậy vào CA cụ thé sé tạo nên một miền tin cậy PKI. Việc mở rộng miễn tin cậy PKI nhằm tạo sự an toàn và tin cậy cho việc trao đôi thông tin của người dùng (thuê bao và relying party) giữa hai hay nhiều miền PKI với nhau.

Với sự phát triển ngày càng nhiều của các tổ chức và nhu cầu bảo mật thông tin ngày càng

<small>tăng thì việc xây dựng một miên tin cậy là chưa đủ, cân có sự mở rộng sự tin cậy giữa các</small>

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<small>miễn tin cậy với nhau. Việc mở rộng các miền tin cậy sétao ra một mơi trường an tồn ngày</small>

càng rộng lớn, tạo dựng được sự tin tưởng của người sử dụng, nâng cao hiệu quả trong vấn đề

<small>bảo mật thông tin.</small>

Dưới đây là một số mơ hình PKI phơ biến có thé được sử dụng dé thiết lập chuỗi tín nhiệm

<small>như vậy và mỗi mơ hình đều có những ưu và nhược điêm khi được triên khai thực tê. Sự khác</small>

biệt giữa chúng dựa trên số lượng CA, sự sắp xếp và mối quan hệ giữa chúng.

<small>2.2. Cac mơ hình tin cậy trong PKI</small>

2.2.1. Mơ hình tin cậy trực tiếp (Direct Trust)

<small>2.2.2. Mơ hình tin cậy mạng lưới (Web of Trust)</small>

<small>2.2.3. Mơ hình tin cậy dua vào bên thứ ba2.2.4. So sánh của các mơ hình tin cậy</small>

<small>Bảng sau đây so sánh ưu nhược diém của ba mơ hình tin cậy đã nêu trên.</small>

<small>Bảng 2-1: So sánh các mơ hình tin cậy</small>

Mơ hình tin cậy Ưu Điểm Nhược Điểm

Mơ hình tin cậy Không cần ha tang. Không giải quyết được van dé trực tiếp Giải quyết được vẫn đề chống chối bỏ.

xác thực cặp khóa. Vấn đề áp đặt chính sách

Van dé thu hồi có thé được chung khơng được giải quyết.

giải quyết. Mơ hình này thích hợp với số

<small>lượng người dùng nhỏ.</small>

Mơ hình tin cậy Khơng cân hạ tâng. Khơng giải quyết được van mạng lưới Có thê giải quyết được vấn | đề: chống chối bỏ và áp đặt

đề xác thực cặp khóa. chính sách chung.

Van đề thu hồi rất phức tạp.

Mơ hình tin cậy Giải quyết được các vân đê | - Khơng thích hợp đơi với mơi dựa vào bên thứ 3 về: xác thực cặp khóa, trường mà mỗi miền khác

chống chối bỏ, thu hồi. nhau cần có chính sách và

<small>Dé dàng áp đặt chính sách | giải pháp PKI khác nhau.</small>

<small>chung. Khơng thích hợp cho những</small>

Thường áp dụng cho các tô mỗi quan hệ ngang hàng giữa

<small>chức lớn chính phủ và doanh nghiệp.</small>

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<small>So sánh các mơ hình mở rộng miễn tin cậy</small>

<small>Bảng sau đây so sánh ưu nhược điêm của các mô hình đã nêu trên.Bảng 2-2: Bảng so sánh các mơ hình tin cậy</small>

Mơ hình Uu điểm Nhược điểm

Mơ hình | - Tương thích với câu trúc phân cấp | - Trong một phạm vi rộng, một CA duy CA của hệ thống quản lý trong tổ | nhất không thé đảm nhận được tất cả

nhiều chức. quá trình xác thực.

cấp - Gần giống với hình thức phân cấp | - Các quan hệ trong kinh doanh thương trong tổ chức thư mục nên dé làm |_ mại không phải bao giờ cũng có dạng quen phân cấp.

<small>- Cách thức tìm ra một nhánh xác | - Khóa riêng của RootCA bị lộ thì tồn</small>

thực theo một hướng nhất định, | bộ hệ thống sẽ bi nguy hiểm.

<small>khơng có hiện tượng vịng lặp ></small>

<small>đơn giản, nhanh.</small>

Mơ hình | - Kiến trúc đơn giản, dé triên khai. | - Việc quản lý danh sách các CA tin

danh |- Các đối tượng sử dụng có tồn | cậy của 1 tơ chức là khó khăn.

sách tin | quyền với danh sách các CA mà | - Cấu trúc chứng thư khơng có nhiều

<small>cậy mnh tin cậy. hỗ trợ cho việc tim ra các nhanh xác</small>

- Các đối tượng làm việc trực tiếp | nhận.

với CA trong danh sách các CA | - Không có những hỗ trợ trực tiếp đối

<small>được tin cậy. với các cặp chứng thư ngang hàng do</small>

vậy hạn chế của CA trọng việc quản

<small>lý sự tin cậy của mình với các CA</small>

- Nhiều ứng dụng khơng hỗ trợ tính

<small>năng tự động lấy thông tin trạng thái</small>

<small>hoặc hủy bỏ chứng thư</small>

Mô hình | Tạo mối quan hệ tin cậy ngang hàng | - Khó khăn với ứng dụng người dùng chứng | giữa 2 CA, là cơ chế hữu ích để | để xác định chuỗi chứng thư giữa

thực mở rộng miền tin cậy. người dùng sở hữu CA khơng có chéo đường liên kết chứng thư.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

- Mơ hình này đối mặt với van đề vê

<small>xác định “ai là Root” ( không ai/hoac</small>

là tất cả các CA).

Mô hình | - Dễ dàng mở rộng miền tin cậy dựa | Do việc kết hợp nhiều mơ hình sẽ tạo

<small>hỗn hợp |_ vào chứng thực chéo. ra khó khăn trong việc xây dựng và</small>

- Tạo sự linh động trong việc 4p| quản lý hệ thống. dụng mơ hình đối với các hạ tầng,

<small>các mơi trường khác nhau.</small>

Mơ hình |-GWCA là điểm tín nhiệm duy |-Khó khăn trong việc thiết lập

Gateway |_ nhất của các thực thé cuối và thực | Gateway CA làm việc với nhau, triển

CA thể cuối chi cần tín nhiệm bat kỳ | khai hệ thống phức tap.

<small>GWCA nao thì nó cũng sẽ tín |- Khó khăn trong việc quản lý hệ</small>

Mơ hình | - Mơ hình này làm giảm số xác thực | - Khó khăn trong việc thiết lập bridge cầu nối chéo từ n2 xuống n. CA làm việc với các CA khác trong

- Với cầu hình này CA trung tâm khơng tạo ra sự phân cấp. Tất cả các thực thể trong cấu hình đều

<small>giữ khố cơng khai của CA cụcbộ, khơng có khố của CA trungtâm.</small>

- Mơ hình sẽ thiết lập mối qua hệ

<small>peer to peer (P2P) giữa các cộng</small>

đồng người dùng khác nhau và

làm giảm nhẹ vấn đề cấp phát chứng thư giữa các tổ chức trong

<small>khi đó lại cho phép người dùng</small>

giữ được nguồn tin cậy.

hạ tầng cơ sở để các CA nay có thé

<small>hoạt động được với nhau.</small>

<small>- Độ phức tạp của mơ hình này khá cao</small>

và có thể phải điều chỉnh các module PKI của người dùng cuối.

</div>