VIỆN KHOA HỌC KỸ THUẬT BƯU ĐIỆN
THUYẾT MINH TIÊU CHUẨN
XÂY DỰNG TIÊU CHUẨN KHUÔN DẠNG
CHỨNG THƯ SỐ
Hà Nội, 1-2008
1
Mục lục
Mục lục 2
1. Mở đầu 4
1.1 Tên đề tài 4
1.2 Mục tiêu, nội dung và kết quả đề tài 4
2. Ý nghĩa thực tiễn của đề tài 4
3. Hạ tầng mã hóa công khai 5
3.1 Chữ ký số (digital signature) 5
3.2 Chứng thư số 7
4. Khảo sát tình hình sử dụng chứng thư số 9
4.1 Các kiến trúc PKI sử dụng trên thế giới 9
4.1.1 Mô hình Root CA/Hierarchy 9
4.1.2 Mô hình Bridge CA 10
4.2 Hiện trạng triển khai chứng thực điện tử tại một số nước 12
4.3 Tình hình sử dụng chứng thư số tại Việt Nam 13
5. Khảo sát các tiêu chuẩn chứng thư 14
5.1 Các tổ chức tiêu chuẩn trên thế giới 14
5.2 Các phiên bản chứng thư được ban hành 15
5.3 Khảo sát khuôn dạng chứng thư được ban hành tại Mỹ 16
5.3.1 Khuôn dạng chứng thư số sử dụng cho ROOT CA của tổ chức VeriSign 16
5.3.2 X.509 Certificate Policy For The U.S. Federal PKI - Common Policy Framework
-Version 3647 - 1.2 (4/10/2007) 18
5.3.3 Federal Public Key Infrastructure- Directory Profile - Version 2.5(Draft) (8/10/2002). 18
5.3.4 Federal Public Key Infrastructure (PKI)- X.509 Certificate and CRL Extensions-
Profile(30/4/2002) 18

2
5.3.5 Federal Public Key Infrastructure (PKI)- X.509 Certificate and CRL Extensions-
Profile(12/10/2005) 19
5.4 Khảo sát khuôn dạng chứng thư được tại các nước ASIA 19
5.5 Nhận xét 20
6. Phân loại chứng thư số 20
7. Sở cứ xây dựng tiêu chuẩn 22
7.1 ITU-T 22
7.1.1 Khuôn dạng chứng thư số 22
7.1.2 Khuôn dạng chứng thư thuộc tính 22
7.1.3 Thư mục 23
7.2 IETF 23
7.2.1 Khuôn dạng chứng thư số sử dụng trong Internet RFC 3280 (4/2002) 23
7.2.2 Khuôn dạng chứng thư thuộc tính dùng để nhận thực sử dụng trong Internet RFC
3281(4/2002) 23
8. Tiêu chí chọn lựa 23
9. Hình thức biên soạn tiêu chuẩn 25
10. Nội dung chính của Bản tiêu chuẩn 26
11. Đề xuất hướng phát triển của đề tài 27
12. Kết luận 28
3
1. Mở đầu
1.1 Tên đề tài
Xây dựng tiêu chuẩn về khuôn dạng và nội dung chứng thư số
Mã số: 79 – 07 – KHKT – TC.
1.2 Mục tiêu, nội dung và kết quả đề tài
a. Mục tiêu: Xây dựng tiêu chuẩn khuôn dạng chứng thư số và chứng thư thuộc tính, khuôn
dạng chứng thư số và chứng thư thuộc tính sử dụng trong Internet. Phân tích thư mục lưu trữ
hạ tầng khóa công khai và hạ tầng quản lý quyền.
b. Nội dung:

− Rà soát, nghiên cứu, tổng hợp các tiêu chuẩn của ITU-T X.509 v3, IETF, các tổ chức
nghiên cứu xây dựng hạ tầng khóa công khai, hạ tầng quản lý quyền như ASIA forum,
các hãng cung cấp phần mềm như Microsoft, IBM và tình hình áp dụng của một số
nước trong khu vực cũng như trên thế giới về tình hình sử dụng chứng thư số và chứng
thư thuộc tính.
− Phân tích hiện trạng sử dụng và khai thác chứng thư số tại Việt Nam.
− Tìm sở cứ xây dựng tiêu chuẩn khuôn dạng và nội dung chứng thư số, chứng thư
thuộc tính.
− Xây dựng tiêu chuẩn về khuôn dạng và nội dung chứng thư số, chứng thư thuộc tính.
c. Kết quả:
− Dự thảo tiêu chuẩn “Khuôn dạng và nội dung chứng thư số” trình Bộ Bưu chính, viễn
thông ban hành.
− Bản thuyết minh tiêu chuẩn.
2. Ý nghĩa thực tiễn của đề tài
Chứng thư số là tệp tin mang thông tin chứng thực nhận dạng một cá nhân, tổ chức hay thiết
bị, ứng dụng muốn truy nhập vào hệ thống. Chứng thư số được ví như chứng minh thư nhân
dân, giấy phép lái xe…dùng để nhận dạng người sử dụng cũng như quyền của người đó.
Tiêu chuẩn ITU-T X.509 được sử dụng rộng rãi nhất hiện nay dựa trên hạ tầng khóa công
khai PKI.
Tại Việt nam, hiện chưa một tiêu chuẩn nào về khuôn dạng chứng thư số, nên các tổ chức
cung cấp chứng thư số tại Việt nam vẫn dựa theo mẫu khuôn dạng của các tổ chức phát hành
chứng thư số như Versign.
4
Đề tài xây dựng khuôn dạng chứng thư số ra đời nhằm đưa ra tiêu chuẩn để xây dựng khuôn
dạng cho chứng thư gốc (Root certificate) và chứng thư công cộng (entity certificate).
3. Hạ tầng mã hóa công khai
Để hiểu vai trò và vị trí của chứng thư số, trước tiên tìm hiểu về hệ thống mã hóa công khai.
Trong mã hóa khóa công khai, khóa riêng phải được giữ bí mật trong khi khóa công khai
được phổ biến. Trong 2 khóa, một dùng để mã hóa và khóa còn lại dùng để giải mã. Điều
quan trọng đối với hệ thống là không thể tìm ra khóa riêng nếu chỉ biết khóa công khai.

Hệ thống mã hóa khóa công khai có thể sử dụng với các mục đích:
 Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải mã được.
 Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo với một khóa bí
mật nào đó hay không.
3.1 Chữ ký số (digital signature)
Sử dụng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mã bǎm (hash) của thông điệp -
một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như MD5, SHA-
1 ). Người gửi sẽ mã hoá đoạn mã bǎm bằng khoá riêng của mình và người nhận sẽ dùng
khoá công khai của người gửi để giải đoạn mã bǎm của người gửi, sau đó so sánh với đoạn
mã bǎm của thông điệp nhận được (được tạo bằng cùng một thuật toán). Nếu trùng nhau thì
người nhận có thể tin rằng thông điệp nhận được không bị thay đổi trong quá trình truyền tải
trên mạng và xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ ký điện tử-
chữ kí số.
Quá trình tạo chữ kí số
 Đoạn dữ liệu cần được bảo mật được đưa qua hàm băm (hashing), kết quả của hàm
băm là một đoạn bit đảm bảo 2 tính chất:
 tính duy nhất: mỗi một đoạn dữ liệu khác nhau thì sẽ có một đoạn bit khác
nhau, không trùng lặp, có độ dài không đổi
 tính một chiều: từ đoạn bit đặc trưng này, không suy ngược lại được nối dung
đoạn văn bản
 Đoạn bit đặc trưng này được mã hoá bằng khoá bí mật của người gửi và được đính
kèm vào "văn bản", rồi gửi đến người nhận – đoạn bit được mã hoá này chính là chữ
ký số (digital signature).
5
Hình 1:Tiến trình tạo chữ ký số
Kiểm tra chữ kí
Từ phía người nhận, khi nhận được "văn bản" kèm chữ ký số, tiến trình kiểm tra sẽ như sau:
 Lấy đoạn dữ liệu gốc, đưa qua hàm băm đã nói ở trên, thu được một đoạn bit là kết
quả băm
 Lấy đoạn bit được mã hoá (chữ ký số), giải mã bằng khoá công khai của người gửi,

thu được đoạn bit đặc trưng
 So sánh đoạn bit vừa thu được với đoạn bit thu được trong bước 1, nếu 2 đoạn trùng
nhau và tin rằng khoá công khai chắc chắn là do người gửi phát hành thì kết luận:
 dữ liệu nhận được có tính toàn vẹn (vì kết quả băm là duy nhât, một chiều)
 dữ liệu nhận được là do chính người gửi gửi đi vì chỉ duy nhất người gửi mới
có khoá bí mật phù hợp với khoá công khai đã được sử dụng để giải mã. Như
vậy tính chống từ chối và tính xác thực được kiểm tra và xác nhận. Lúc này
người nhận tin rằng, khoá công khai đó đại diện hợp pháp cho người gửi.
Hình 2: Tiến trình kiểm tra chữ ký
6
Mã/giải mã
Khi nhận được, người nhận sẽ sử dụng khoá bí mật mình đang sở hửu để giải mã và lấy được
khoá mã, tiếp tục sử dụng khoá mã này sẽ giải mã được văn bản. Như vậy, tính bí mật của
giao dịch sẽ được đảm bảo từ người gửi, đến tận người nhận.
Tuy nhiên, câu hỏi đặt ra ở đây là: khoá công khai đó có đúng là của người gửi văn bản
không, có đại diện cho người gửi văn bản không và khoá công khai này lấy ở đâu để có thể tin
cậy được? Trong đó, vai trò của khoá công khai của người gửi có thể được coi như chữ ký
mẫu của người gửi khi làm việc với văn bản giấy, chữ ký mẫu này được chấp nhận và phát tán
công khai trong toàn hệ thống giao dịch
3.2 Chứng thư số
Để giải quyết câu hỏi "khoá công khai có đúng là của người gửi văn bản không và khoá công
khai này lấy ở đâu để có thể tin cậy được?", vấn đề được giải quyết như sau:
 Xây dựng một hệ thống tập trung có thể cấp phát cặp khoá riêng - công khai cho toàn
bộ người tham gia giao dịch
 Chuyển giao phần khoá bí mật cho người sở hữu và đảm bảo rằng chỉ duy nhất anh ta
biết được khoá này.
 Gắn liền thông tin cá nhân (tên, số nhân dạng có nhân, chức vụ, đơn vị công tác, và
một số thông tin khác) của người sở hữu cặp khoá vào phần khoá công khai để tạo
thành một file dữ liệu – đây chính là phần nội dung của chứng thư số.
Để đảm bảo tính toàn vẹn và có thể tin cậy dữ liệu nhận được, hệ thống phát hành sử dụng

khoá riêng của mình tạo và đính kèm một chữ ký điện tử lên file dữ liệu nói trên. Đoạn nội
dung (chứa thông tin cá nhân và khoá công khai của người sở hữu) có đính kèm chữ ký số của
hệ thống phát hành cặp khoá được gọi là chứng thư số của người sở hữu cặp khoá.
 Hệ thống cấp khoá và chứng thực rằng cặp khoá đó đại diện cho người tham gia giao
dịch được gọi là hệ thống chứng thực số (Certificate Authority - CA) Như vậy, các
vấn đề sau được giải quyết:
 Khi có chứng thư số, ta có được khoá công khai của người giao dịch, khoá công khai
này được đính kèm với thông tin cá nhân (tên, số nhân dạng có nhân, chức vụ, đơn vị
công tác, và một số thông tin khác) của người giao dịch
 Việc chứng thực rằng khoá công khai này là hợp lệ và là đại diện cho người tham gia
giao dịch được chứng thực bởi hệ thống CA.
 Tất cả các bên giao dịch muốn kiểm tra tính đúng đắn, hợp lệ về nội dung của chứng
thư số đều xuất phát từ việc tin cậy vào chữ ký số của CA trên chứng thư số (điều này
cũng hoàn toàn tự nhiên như khi ta xem xét 1 chứng minh thư nhân dân để tin cậy vào
một cá nhân, ta tin cậy vào chữ ký và dấu của người ký chứng minh thư đó).
7
Mã khoá công khai có 2 lợi ích sau: thứ nhất là nó giải quyết được cả bài toán bảo mật và xác
thực (trong thực tế, nhiều khi nhu cầu xác thực là quan trọng hơn nhu cầu bảo mật; việc xác
thực ở đây bao gồm cả khía cạnh xác thực nội dung bản tin và xác thực cả chủ thể tạo ra bản
tin); lợi ích thứ hai là việc phân phối khoá sẽ được đơn giản và tiện lợi hơn nhiều so với mật
mã khoá đối xứng. Thế nhưng, có một nguy cơ là: điều gì sẽ xảy ra nếu khoá công khai bị giả
mạo? (tức là khoá công khai thực của người sử dụng A đã bị thay đổi một cách ác ý hay là
được thay bằng khoá của người sử dụng B). Khi đó sẽ xảy ra hai tình huống: hoặc là thông tin
mà người sử dụng A đã ký bằng khoá bí mật của anh ta sẽ không được kiểm tra lại bằng khoá
công khai đã bị sửa đổi; hoặc là người sử dụng A phải chịu trách nhiệm về một chữ ký mà anh
ta không sinh ra (mà do người sử dụng B giả mạo). Chứng thư số sẽ đảm bảo sự đúng đắn về
khoá công khai của từng người sử dụng trong hệ thống.
Như vậy chứng thư số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy
chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá
công khai (public key).

Quy trình cấp chứng thư số
Để lấy được chứng thư số bạn cũng cần phải thực hiện các công việc đăng ký tương tự như
vậy. Nơi có thể chứng nhận những thông tin của bạn là chính xác được gọi là Tổ chức cấp
chứng thư số (Certificate Authority viết tắt là CA), một tổ chức có thẩm quyền xác nhận chỉ
danh và cấp các chứng thư số. Họ có thể là một thành phần thứ ba đứng độc lập hoặc các tổ
chức tự vận hành phần mềm cấp chứng thư số của mình. Các phương pháp để xác định chỉ
danh phụ thuộc vào các chính sách mà CA đặt ra. Chính sách lập ra phải đảm bảo việc cấp
chứng thư số phải đúng đắn, ai được cấp và mục đích dùng vào việc gì. Thông thường, trước
khi cấp một chứng thư số, CA sẽ công bố các thủ tục cần phải thực hiện cho các loại chứng
thư số.
Lợi ích sử dụng chứng thư số:
 Mã hoá và giải mã: cho phép hai đối tác giao thiệp với nhau có thể che giấu thông tin
mà họ gửi cho nhau. Người gửi mã hoá các thông tin trước khi gửi chúng đi, người
nhận sẽ giải mã trước khi đọc. Trong khi truyền, các thông tin sẽ không bị lộ.
 Chống lại sự giả mạo: cho phép người nhận có thể kiểm tra thông tin có bị thay đổi
hay không. Bất kỳ một sự thay đổi hay thay thế nội dụng của thông điệp gốc đều sẽ bị
phát hiện.
 Xác thực: cho phép người nhận có thể xác định chỉ danh của người gửi.
 Không thể chối cãi nguồn gốc: ngăn chặn người gửi chối cãi nguồn gốc tài liệu mình
đã gửi.
8
4. Khảo sát tình hình sử dụng chứng thư số
4.1 Các kiến trúc PKI sử dụng trên thế giới
Có rất nhiều mô hình PKI khác nhau đang được sử dụng trên thế giới. Trong tài liệu này, chỉ
tập trung miêu tả hai mô hình phổ biến nhất hiện nay là mô hình Root và Bridge. Root
CA/Hierarchy Model.
 
Trong mô hình cây hay phân cấp này, CA gốc chịu trách nhiệm lưu giữ chứng thư và tất các
người sử dụng cuối sẽ dựa vào CA này để xác thực.
Mô hình này bao gồm các nhà đăng kí, thực hiện quá trình nhận dạng người sử dụng và phát

hành cặp khóa. Điều này tạo ra một sự linh động cho hệ thống bằng cách cho phép một nhóm
nhỏ hơn có được các dịch vụ chứng thực trong phạm vi cho phép.
Hình 3: Kiến trúc PKI hình cây
Mô hình này có thể tránh được nhiều vấn đề trong quá trình hoạt động và cung cấp một điểm
thuận tiện đơn để truy nhập. Bên cạnh đó còn nhiều nhược điểm khi số người sử dụng tăng.
 Việc quản trị cũng như hỗ trợ kĩ thuật có thể trở nên quá tải cho CA
 Nhiều nhóm người sử dụng sẽ có nhu cầu khác nhau mà một CA không thể nào đáp
ứng được.
 Rất khó có người sử dụng khi phải chỉ có một nhà cung cấp dịch vụ.
Mô hình phân cấp là mô hình Root CA đã được cải tiến. Trong mô hình này có một Root CA
phát hành chứng thư cho các CA dưới. Các CA này, theo thẩm quyền được cấp sẽ cung cấp
chứng thư cho các CA dưới.
Mỗi CA được chứng thực bởi một CA cấp cao hơn. Chỉ có Root CA được phép tự chứng
thực.
9
Hình 4: Mô hình phân cấp
Mô hình phân cấp có ưu điểm hơn mô hình Root CA, cho phép tăng khả năng cạnh tranh và
chuyên môn hóa giữa các CA. Tuy nhiên mô hình này cũng có một số hạn chế:
 Các thành phần tham gia phải chứng thực với Root CA.
 Root CA giữ vai trò quan trọng trong vấn đề bảo mật.
 Các yêu cầu kĩ thuật ban hành bởi Root CA có thể hạn chế sự đổi mới và sức cạnh
tranh của các CA.
 
Hình 5: Mô hình Bridge CA
10
Mô hình Bridge CA dựa trên một CA trung tâm với nhiều CA khác hoạt động song song. Mô
hình này cho phép các CA có thể liên kết với nhau.
Đây là mô hình kết hợp giữa mô hình Root CA và Cross-CA. Mô hình này cung cấp khả năng
quản trị đơn giản của Root CA bởi nó chỉ yêu cầu một cặp chứng thư song song cho mỗi CA,
hơn là n2 chứng thư cho toàn bộ hệ thống mạng lưới.

Bên cạnh đó, mô hình này còn mang lại khả năng cạnh tranh giữa các CA của mô hình Cross-
CA, bởi nó không đặt quá nhiều các yêu cầu kĩ thuật đối với CA. Mô hình này chỉ đặt ra yêu
cầu tối thiểu cho các CA tham gia. Trong mô hình này, các CA có thể liên kết hoạt động với
nhau một cách linh hoạt.
Với các ưu điểm kể trên, mô hình Bridge CA là mô hình phổ biến nhất hiện nay. Ngoài ra, mô
hình Bridge CA được mở rộng hơn là sự kết hợp của nhiều mô hình CA.
Hình 6: Mô hình Bridge CA mở rộng
Mô hình Bridge CA được ứng dụng tại Mỹ, Châu Âu và một số nước khác.
Mô hình Bridge CA tại Mỹ là mô hình Bridge CA mở rộng, cho phép kết hợp mô hình Bridge
CA và Cross-CA.
11
4.2 Hiện trạng triển khai chứng thực điện tử tại một số nước
Rất nhiều quốc gia trên thế giới đã cung cấp dịch vụ chứng thực điện tử. Một số CA nổi tiếng
trên thế giới có thể kể đến như CA của các công ty VeriSign, WISeKey, eTrust, có chi
nhánh tại rất nhiều nước trên thế giới.
Để cung cấp dịch vụ chứng thực điện tử các nước đều ban hành các văn bản pháp lý về hoạt
động chứng thực điện tử, cấp phép cho các CA và tổ chức hệ thống CA. Về cấu trúc hệ thống
cung cấp dịch vụ chứng thực điện tử có nước tổ chức theo sơ đồ hình cây trong đó mức cao
nhất là root CA quốc gia, mức duới là các CA cấp dưới. Bên cạnh đó cũng có quốc gia không
thành lập root CA mà tổ chức các CA theo dạng mắt lưới hoặc riêng rẽ.
Ở các nước trong khu vực dịch vụ chứng thực điện tử phát triển khá mạnh. Nhật bản đã ban
hành Luật về chữ ký điện tử và các dịch vụ chứng thực vào năm 2001. Hàn quốc ban hành
luật chữ ký điện tử vào năm 1999 và ban hành bản sửa đổi vào năm 2001. Hiện nay Hàn quốc
có 6 CA được cấp phép hoạt động. Hồng kông ban hành sắc lệnh về giao dịch điện tử vào
năm 2000. Đài loan ban hành luật chữ ký số vào năm 2001. Malaysia ban hành luật chữ ký số
vào năm 1997, hiện nay có 3 CA được cấp phép hoạt động. Singapore ban hành luật giao dịch
điện tử vào năm 1998 và Quy định về giao dịch điện tử cho các CA vào năm 1999. Thái lan
ban hành luật giao dịch điện tử năm 2001.
Hiện nay chứng thực điện tử được sử dụng trong khá nhiều ứng dụng, theo số liệu điều tra
công bố vào tháng 8/2003 của tổ chức OASIS (Organization for the Advancement of

Structured Information Standards) thì 24,1% sử dụng trong việc ký vào các dữ liệu điện tử,
16,3% sử dụng để bảo đảm cho Email, 13,2% dùng trong thương mại điện tử, 9,1% sử dụng
để bảo vệ WLAN, 8% sử dụng bảo đảm an toàn cho các dịch vụ Web, 6% sử dụng bảo đảm
an toàn cho Web Server, 6% sử dụng trong các mạng riêng ảo (VPC). Ngoài ra chứng thực
điện tử còn được sử dụng trong một số ứng dụng khác.
Tuy chứng thực điện tử phát triển khá nhanh và được sử dụng khá hiệu quả trong rất nhiều
ứng dụng như vậy nhưng không phải không có những yếu tố cản trở sự phát triển của nó. Ở
đây có thể nêu lên một số yếu tố chính cản trở sự phát triển của chứng thực điện tử, đó là :
 Còn ít các phần mềm ứng dụng hỗ trợ sử dụng chứng thực điện tử
 Giá thành hệ thống CA cũng như phí cung cấp dịch vụ cao
 Thiếu hiểu biết về PKI
 Có quá nhiều công nghệ được sử dụng
 Khó sử dụng đối với người dùng
 Khả năng kết hợp làm việc giữa các hệ thống chưa tốt
 Thiếu việc hỗ trợ quản lý
 Quá nhiều yêu cầu về mặt luật pháp.
12
Tóm lại việc phát triển chứng thực điện tử là một xu hướng tất yếu trên thế giới nhưng trong
quá trình phát triển nó cũng gặp những rào cản nhất định. Các nước hầu hết đã triển khai cung
cấp dịch vụ chứng thực điện tử đặc biệt là những nước có các ứng dụng trên mạng phát triển.
4.3 Tình hình sử dụng chứng thư số tại Việt Nam
Trong bối cảnh mạng Internet phát triển mạnh mẽ, các nhà cung cấp dịch vụ viễn thông trong
nước đang nỗ lực phát triển các dịch vụ thương mại điện tử nhằm tạo ưu thế cạnh tranh.
Trước nhu cầu sử dụng CTĐT (chứng thực điện tử) ngày càng tăng cao tại Việt Nam, trong
thời gian qua tại Việt Nam đã có một số đơn vị cung cấp và thử nghiệm dịch vụ CTĐT như
công ty VASC, công ty VDC, Trung tâm tin học Bộ Khoa học Công nghệ (KHCN), Ban Cơ
yếu chính phủ, một số ngân hàng. Ngoài ra còn một số đơn vị cũng thử nghiệm xây dựng các
nhà cung cấp chứng thư số CA (Certificate Authority) nội bộ. Các nhà cung cấp chứng thư số
này hầu hết là các CA riêng rẽ, nghĩa là tự cấp chứng thư cho mình, chỉ có CA của VDC là
đại lý cho CA của công ty VeriSign. Ngoài ra trong các nhà cung cấp chứng thư số CA đã nêu

chỉ có CA của VASC và CA của VDC là cung cấp dịch vụ chứng thực cho cộng đồng. Các
ứng dụng sử dụng CTĐT ở Việt Nam chủ yếu là ký vào dữ liệu điện tử, thư điện tử bảo đảm,
xác thực quyền truy nhập, thanh toán điện tử.
Dịch vụ cung cấp tại VASC bao gồm:
BẢO MẬT EMAIL
Email đóng một vai trò khá quan trọng trong trao đổi thông tin hàng ngày của chúng ta vì ưu
điểm nhanh, rẻ và dễ sử dụng của nó. Những thông điệp có thể gửi đi nhanh chóng, qua
Internet, đến những khách hàng, những đồng nghiệp, những nhà cung cấp và những đối tác.
Mà nhiều trong số những thông điệp này có thể chứa những thông tin về phương diện thương
mại hay những thông tin nhạy cảm. Và đó chính là vấn đề.
Email rất dễ bị tổn thương bởi những Hacker. Những thông điệp có thể bị đọc hay bị giả mạo
trước khi đến người nhận.
Bằng việc sử dụng chứng thư số Cá nhân của VASC-CA sẽ giúp bạn giải quyết những lỗi lo
đó mà vẫn không làm giảm những lợi thế của email.
Mã hoá - chứng thư số Cá nhân cho phép bạn mã hoá nội dung thông điệp và phần đi kèm mà
chỉ có thể đọc bởi đúng người nhận có thẩm quyền.
Chữ ký điện tử - với chứng thư số Cá nhân bạn có thể thêm một chữ ký điện tử vào email như
là một bằng chứng nhận diện.
Tính toàn vẹn - khi một thông điệp đã được ký bằng chữ ký điện tử, người nhận có thể xác
định được rằng nội dung của thông điệp đó có bị giả mạo hay không.
Ngoài ra, chứng thư số Cá nhân còn cho phép người dùng có thể chứng thực mình với một
web server thông qua giao thức bảo mật SSL. Phương pháp chứng thực dựa trên chứng thư số
13
được đánh giá là tốt, an toàn và bảo mật hơn phương pháp chứng thực truyền thống dựa trên
mật khẩu.
BẢO MẬT WEBSITE
Khi Website của bạn sử dụng cho mục đích thương mại điện tử hay cho những mục đích quan
trọng khác, những thông tin trao đổi giữa bạn và khách hàng của bạn có thể bị lộ giữa chừng.
Với chứng thư số SSL Server của VASC- CA, vấn đề đó sẽ được giải quyết.
Chứng thư số SSL Server sẽ cho phép bạn cấu hình Website của mình có giao thức bảo mật

SSL, cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng
của bạn về tính xác thực và tính hợp pháp của Website. Chứng thư số SSL Server cũng sẽ cho
phép trao đổi thông tin an toàn và bảo mật giữa Website với những khách hàng, nhân viên và
đối tác của bạn thông qua công nghệ SSL mà nổi bật là:
+ Thực hiện mua bán bằng thẻ tín dụng
+ Bảo vệ những thông tin nhạy cảm của cá nhân
+ Đảm bảo các hacker không thể dò tìm được mật khẩu
BẢO ĐẢM PHẦN MỀM
Chứng thư số Nhà phát triển phần mềm của VASC-CA sẽ cho phép bạn ký vào những applet,
script, Java software, ActiveX control, EXE, CAB và DLL. Như vậy sẽ cho phép bạn, người
ký đảm bảo tính hợp pháp của sản phẩm và cho phép người sử dụng nhận diện được bạn, phát
hiện được sự thay đổi của chương trình (do vô tình hỏng hay do virus phá)
Như vậy đã có nhiều tổ chức tham gia cung cấp chứng thực số ở Việt Nam. Để cung cấp dịch
vụ CTĐT một cách tốt nhất, cần phải xây dựng hệ thống tiêu chuẩn trong hoạt động CTĐT,
tuy nhiên cho đến nay chưa có tiêu chuẩn về khuôn dạng chung cho chứng thư số.
5. Khảo sát các tiêu chuẩn chứng thư
5.1 Các tổ chức tiêu chuẩn trên thế giới
Hiện nay, các tổ chức tiêu chuẩn quốc tế như ITU-T, IETF, đã ban hành các tiêu chuẩn liên
quan đến chứng thư số. Các chuẩn này đã được xây dựng khá đầy đủ và tương đối đa dạng.
- ITU: Tiêu chuẩn chính cho chứng thư số dựa trên PKI là khuyến nghị X.509 của ITU.
Ngôn ngữ được sử dụng trong khuôn dạng chứng thư số X.509 là ASN-1. X.509 lần đầu tiên
được công bố vào năm 1988 và phiên bản 5 mới nhất được ban hành tháng 8 năm 2005. Cùng
với X.509, sau đó ISO/IEC cũng xuất bản các tiêu chuẩn tương tự có mã ISO/IEC 9594-8 với
phiên bản 4 mới nhất năm 2001. X.509 định nghĩa mẫu các nội dung của một chứng thư số
bao gồm các trường như: số phiên bản, số serial, ID chữ ký, tên chủ thể phát hành, thời hạn
hiệu lực, tên chủ thể nhận chứng thư số … Trong đó có những trường là tùy chọn, mở rộng.
Ví dụ trường mở rộng về chính sách cho phép đưa các chính sách riêng về sử dụng chứng thư
số của nhà cung cấp. Từ phiên bản 4 của X.509 trở đi, khái niệm chứng thư “thuộc tính”
14
(attribute) đã được bổ sung để nhà cung cấp (không được phép ban hành chứng thư số thông

thường) có thể cho phép chủ thể chứng thư số thuộc tính truy nhập thông tin điều khiển nội
dung chứng thư.
- IETF: đã phát triển một loạt các chuẩn (RFC) quản lý hoạt động trên môi trường Internet
của chứng thư số PKI dựa trên X.509. RFC 3280 là chuẩn được áp dụng nhiều nhất: Mẫu
chứng thư số PKIX (PKIX X.509 Profile) nhằm mục đích tạo thuận lợi cho quá trình sử dụng
chứng thư số X.509 trên môi trường Internet. RFC 3280 giới hạn một số tùy chọn trong X.509
như bắt buộc sử dụng cơ chế ký không thể giải mã ngược (non-reversible) hoặc việc lựa chọn
kết hợp giữa thuật toán chữ ký số với hàm băm như sau: RSA với MD2; RSA với MD5; RSA
với SHA-1; DSA với SHA-1 … Đối với chứng thư số an toàn, IETF ban hành chuẩn RFC
3039. Mẫu PKIX cũng được chuẩn hóa (RFC 3280) cho trường hợp X.509 CRL (danh sách
chứng thư số bị thu hồi) và chứng thư số thuộc tính (RFC 3281)
- Chuẩn khác: Ngoài X.509, trên thế giới còn tồn tại một số chuẩn khác dành cho các ứng
dụng riêng biệt. Một trong số đó là EMV - tên viết tắt từ 3 chữ cái đầu của ba hãng phát hành
thẻ hàng đầu châu Âu và thế giới - Europay, MasterCard và VISA. Chuẩn EMV quy định quá
trình tương tác ở mức vật lý, điện tử, dữ liệu và ứng dụng giữa thẻ IC và các thiết bị xử lý thẻ
IC dành cho các phiên giao dịch tài chính. Sở dĩ chứng thư số EMV được xây dựng mà không
áp dụng X.509 là vì nhu cầu phải rút ngắn tối thiểu độ dài của chứng thư.
5.2 Các phiên bản chứng thư được ban hành
Như đã trình bày ở trên, cho tới thời điểm này, ITU-T đã ban hành 3 phiên bản X.509 với 5
lần sửa đổi và bổ sung. Trong quá trình khảo sát ưu nhược điểm, nhóm thực hiện đề tài xác
định sử dụng phiên bản 3 được ban hành 8/2005 với lý do sau:
 Khuôn dạng ban hành năm 1988 được gọi là phiên bản 1. Phiên bản 1 không bao gồm
trường mở rộng, do đó không cung cấp thông tin thuộc tính.
 Vào năm 1993, phiên bản này được nâng cấp lên thành phiên bản 2, trong đó sử dụng
thêm 2 trường mở rộng. Tuy nhiên 2 trường mở rộng này không đủ để hỗ trợ cho
nhiều loại dịch vụ khác nhau, nên phiên bản 2 đã không được sử dụng rộng rãi.
Trong quá trình sử dụng, phiên bản 1 và 2 tỏ ra không hiệu quả và cần bổ sung. Một vấn đề
quan trọng, cần thêm các trường để xử lý thông tin về thư điện tử. Để đáp ứng yêu cầu trên, tổ
chức ITU-T và ISO/IEC và ANSI X9 phát triển X.509 v3. X.509 v3 mở rộng hơn phiên bản 2
với 16 trường mở rộng. Với phiên bản 3 ra đời đã đáp ứng yêu cầu dịch vụ từ phía doanh

nghiệp.
Hiện tại nhiều tổ chức cung cấp chứng thư số như Verisign, tổ chức cung cấp chứng thư số
liên bang Mỹ… cũng ban hành chứng thư số X.509 phiên bản 3 song song với phiên bản 2, để
có thể đáp ứng nhu cầu sử dụng cho nhiều dịch vụ.
Sự khác biệt lớn nhất phiên bản 2 và phiên bản 3 trường mở rộng. Trường mở rộng mang lại
khả năng ứng dụng mềm dẻo khi nó không chỉ mang thông tin về khóa và tên. Trường mở
15
rộng chuẩn hóa bao gồm thuộc tính chủ thể và tổ chức phát hành chứng thư, thông tin về
chính sách chứng thưu, quy tắc sử dụng khóa và một số thông tin khác.
Bên cạnh đó còn có trường kiểm tra trạng thái thu hồi chứng thư và hỗ trợ sử dụng nhiều giao
thức khác nhau bao gồm PEM, PKCS, S-HTTP và SSL.
5.3 Khảo sát khuôn dạng chứng thư được ban hành tại Mỹ
Nhóm thực hiện đề tài tập trung khảo sát các khuôn dạng chứng thư số đã được ban hành tại
Mỹ bao gồm :
(1) Khuôn dạng chứng thư số sử dụng cho ROOT CA của tổ chức VeriSign
(2) Khuôn dạng chứng thư số sử dụng cho ROOT CA của tổ chức Thawte
(3) X.509 Certificate Policy For The U.S. Federal PKI - Common Policy Framework
-Version 3647 - 1.2 (4/10/2007)
(4) Federal Public Key Infrastructure- Directory Profile - Version 2.5(Draft) (8/10/2002)
(5) Federal Public Key Infrastructure (PKI)- X.509 Certificate and CRL Extensions-
Profile(12/10/2005)
(6) Federal Public Key Infrastructure (PKI)- X.509 Certificate and CRL Extensions-
Profile(30/4/2002)
  !"#"$%&&'()
 *+
Version 3 Certificate
Issuer Name:
Country = US
Organization = VeriSign, Inc.
Organizational Unit = Class 3 Public Primary Certification Authority - G2

Organizational Unit = (c) 1998 VeriSign, Inc. - For authorized use only
Organizational Unit = VeriSign Trust Network
Subject Name:
Organization = VeriSign, Inc.
Organizational Unit = VeriSign Trust Network
Organizational Unit = Terms of use at (c)00
Common Name = VeriSign Time Stamping Authority CA
Validity Start: 09/26/2000 00:00:00 GMT
Validity End: 09/25/2010 23:59:59 GMT
Algorithm: SHA1 With RSA
16
Cert Hash:
a6 0f 34 c8 62 6c 81 f6 8b f7 7d a9 f6 67 58 8a
90 3f 7d 36
Cert Info Hash:
65 fe fa fa 24 55 c6 0b 04 d2 45 f8 38 cd d0 85
a8 6e bd a9
Public Key Hash:
a8 e6 4e d3 da 4e 55 3b ae fe 81 10 a0 26 fe ac
fb d2 33 cb
Serial Number:
53 61 b2 60 ae db 71 8e a7 94 b3 13 33 f4 07 09
Public Key:
30 81 9f 30 0d 06 09 2a 86 48 86 f7 0d 01 01 01
05 00 03 81 8d 00 30 81 89 02 81 81 00 d2 19 9d
67 c2 00 21 59 62 ce b4 09 22 44 69 8a f8 25 5a
db ed 0d b7 36 7e 4e e0 bb 94 3e 90 25 87 c2 61
47 29 d9 bd 54 b8 63 cc 2c 7d 69 b4 33 36 f4 37
07 9a c1 dd 40 54 fc e0 78 9d a0 93 b9 09 3d 23
51 7f 44 c2 14 74 db 0a be cb c9 30 34 40 98 3e

d0 d7 25 10 81 94 bd 07 4f 9c d6 54 27 df 2e a8
bf cb 90 8c 8d 75 4b bc e2 e8 44 87 cd e6 41 0a
25 6e e8 f4 24 02 c5 52 0f 6e ec 98 75 02 03 01
00 01
Extensions List (5):
1) Basic Constraint Extension - Non-Critical
Extension Value:
Is CA: TRUE
Max Path Len: 0
2) Certificate Policy Extension - Non-Critical
Extension Value:
Policy Info Count (1):
1) Policy Information:
Certificate Policy ID: (2.16.840.1.113733.1.7.23.1.3)
Policy Qualifier Count (1):
1) Policy Qualifier:
Policy Qualifier ID: 1.3.6.1.5.5.7.2.1
Qualifier:
68 74 74 70 73 3a 2f 2f 77 77 77 2e 76 65 72 69 i
17
73 69 67 6e 2e 63 6f 6d 2f 72 70 61 sign.com/rpa
3) CRL Distribution Points Extension - Non-Critical
Extension Value:
1) CRL Distribution Point:
Full Name:
Generalized Name(1):
1) Uniform Resource Identfier:
/>4) Key Usage Extension - Non-Critical
Extension Value:
Key Cert Sign

CRL Sign
5) Authority Information Access Extension - Non-Critical
Extension Value:
1) Access Description:
Access Method: 1.3.6.1.5.5.7.48.1 (2b 06 01 05 05 07 30 01)
Access Location:
Generalized Name(1):
1) Uniform Resource Identfier:
$ /> ,  /  01  2  '  3+  21  04  5
66  01  2678  5*"  9:  5  
;- :<
Là tài liệu hướng dẫn sử dụng chứng thư số do tổ chức cung cấp dịch vụ chứng thư số liên
bang Mỹ ban hành phiên bản mới nhất 10/2007 sử dụng để tham khảo các quy định tương
ứng.
 21  0=1    4>"5  ?  0/1  5
*";?><;@- <
Tài liệu hướng dẫn xây dựng thư mục.
 21  0=1    4>"  ;04<5  ,
/ABC""50/1;- <
Khuôn dạng chứng thư số và danh sách thu hồi chứng thư ban hành năm 2002. Tuy nhiên
nhóm thực hiện đề tài tập trung phân tích phiên bản năm 2007.
18
 21  0=1    4>"  ;04<5  ,
/ABC""50/1;- <
Khuôn dạng chứng thư số và danh sách thu hồi chứng thư ban hành năm 2007, đây là tài liệu
được nhóm đề tài sử dụng chủ yếu để tham khảo xây dụng khuôn dạng chứng thư số và chứng
thư số sử dụng trong Internet.
Phiên bản ban hành 2005 bao gồm khuôn dạng chứng thư Root CA, self-issued CA, cross-CA
và khuôn dạng chứng thư thực thể cuối.
Nhận xét về khuôn dạng ban hành năm 2005:

 Số trường cơ bản sử dụng trong chứng thư hoàn toàn tuân theo khuyến nghị của RFC
3280
 Số trường mở rộng sử dụng các chứng thư có đặc điểm sau:
o Các trường mở rộng tuân theo khuyến nghị của RFC 3280
o Các trường mở rộng được chia làm 3 loại: bắt buộc sử dụng, tùy chọn sử dụng
và không sử dụng. Đối với các trường tùy chọn, CA có thể sử dụng hay không.
Qua khảo sát khuôn dang chứng thư ban hành bởi các tổ chức phát hành chứng
thư như Versign, Thawt…, khuôn dạng chứng thư số tiêu chuẩn bao hàm toàn
bộ các trường có thể được sử dụng bởi CA.
5.4 Khảo sát khuôn dạng chứng thư được tại các nước ASIA
Nhóm thực hiện đề tài tập trung khảo sát tiêu chuẩn khuôn dạng chứng thư số đã được ban
hành tại các nước ASIA bao gồm :
(1) Tài liệu của Hồng Kông : The certification practice statement of the postmaster
general-As A Recognized Certification Authority under the Electronic Transactions
Ordinance(5/2007)
(2) Tài liệu của Malaysia : The certification practice statement- Digicert -Version
2.1(2005)
(3) Asia PKI Interoperability Guideline (Version 2.0, Draft) Book 1(3/2005): Đây là một
tổ chức nghiên cứu mở rộng khả năng áp dụng chứng thư số và chứng thư thuộc tính
trong các lĩnh vực, xây dựng tiêu chuẩn chung cho các thành viên tham gia để tạo
thuận lợi trong liên kết họat động chứng thực giữa các nước. Các thành viên của tổ
chức này bao gồm Nhật Bản, Hồng Kông, Singapo, Hàn Quốc
19
5.5 Nhận xét
Qua việc phân tích khuôn dạng và chính sách cho các chứng thư số của các tổ chức tiêu
chuẩn, hoặc do tổ chức cung cấp chứng thư số quốc gia của các nước trên thế giới, nhóm chủ
trì đưa ra một số kết luận sau:
 Các trường cơ bản của chứng thư số và chứng thư thuộc tính của chứng thư số đều áp
dụng nguyên vẹn theo tài liệu X.509 (8/2005).
 Các trường mở rộng thì theo tùy chọn của từng quốc gia, tổ chức và dạng chứng thư.

Nhưng có một xu hướng chung là tối thiểu hóa số trường mở rộng nhưng vẫn đảm bảo
các yêu cầu của chứng thư. Tuy nhiên cấu trúc như đã nêu trên là hoàn toàn phù hợp
với ITU-T X.509 (8/2005).
Chính vì thế việc lựa chọn tài liệu này làm sở cứ để xây dựng bộ tiêu chuẩn này là hoàn toàn
phù hợp vì:
 Đáp ứng được nội dung yêu cầu của đề cương đã duyệt là xây dựng tiêu khuôn dạng
chứng thư số, chứng thư thuộc tính và thư mục.
 Nội dung tài liệu đầy đủ, rõ ràng để làm cơ sở cho việc đưa ra một khuôn dạng tiêu
chuẩn cho chứng thư sô.
 Tài liệu do ETSI, ITU X.509 v3 ban hành mới nhất cho đến thời điểm hiện nay.
6. Phân loại chứng thư số
Có hai loại chứng thư số:
 Chứng thư số CA : là chứng thư ban hành bởi 1 CA cho CA khác:
o Chứng thư tự ký (self-signed)- Root certificate
o Chứng thư tự ban hành (self-issured)
o Chứng thư chéo (Cross-CA)
 Chứng thư số thực thể cuối (end-entity): là chứng thư ban hành bởi 1 CA tới một thực
thể không phải là CA.
Chứng thư tự kí (Root CA)
Là chứng thư nhận diện của chính CA tự phát hành cho mình. CA đó tự tạo chứng thư và
đồng thời kí luôn chứng thư đó. Chứng thư này còn được gọi là chứng thư gốc, có đặc điểm :
tên chủ thể chứng thư trùng với tên của tổ chức phát hành chứng thư.
Chứng thư tự ban hành (Self-issued)
Theo tài liệu RFC 2510, chứng thư tự ban hành được định nghĩa như sau: chứng tư tự kí là
chứng thư mà tên chủ thể chứng thư trùng với tên của tổ chức phát hành chứng thư. Root Ca
20
sử dụng chứng thư tự ban hàng trong trường hợp thay đổi khóa để chứng thực việc chuyển đổi
từ khóa cũ sang khóa mới.
Khi một Root- CA muốn cập nhật cặp khóa mới, CA này phải tạo ra 3 chứng thư tự ban hành.
Cấu trúc dữ liệu được sủ dụng để bảo vệ khóa công khai mới và cũ của Root CA chính là

chứng thư tự ban hành.
Để thay đổi khóa, Root CA phải thực hiện các bước như sau:
(1) Tạo một cặp khóa mới
(2) Tạo một chứng thư bao gồm khóa công khai cũ được kí với khóa riêng mới (thời gian
hiệu lực chứng thư bắt đầu từ ngày sinh cặp khóa cũ và kết thúc vào thời điểm cặp
khóa cũ không còn giá trị sử dụng).
(3) Tạo một chứng thư bao gồm khóa công khai mới được kí với khóa riêng cũ (thời gian
hiệu lực chứng thư bắt đầu từ ngày sinh cặp khóa mới và kết thúc vào thời điểm CA
này đưa cặp khóa mới vào sử dụng).
(4) Tạo một chứng thư bao gồm khóa công khai mới được kí với khóa riêng mới (thời
gian hiệu lực chứng thư bắt đầu từ ngày sinh cặp khóa mới và kết thúc vào thời điểm
cặp khóa mới không còn giá trị sử dụng).
(5) Ba chứng thư này được lưu trong thư mục
Phương thức này đảm bảo cho việc ban hành cặp khóa của chứng thư Root CA mới trước khi
hết hạn.
Chứng thư chéo
Là chứng thư CA được ban hành bởi CA khác để chứng thực lẫn nhau. Chứng thư chéo có
đặc điểm tên của tổ chức phát hành chứng thư khác với tên của chủ thể chứng thư.
Hình 7: Chứng thư chéo
Chứng thư thực thể cuối
21
Là chứng thư được phát hành bởi một CA cho một thực thể không phải là CA. Chứng thư này
còn được gọi là chứng thư công cộng. Người sử dụng chứng thư thực thể cuối là các cá nhân,
doanh nghiệp được dùng vào nhiều mục đích như: chứng thực email, đảm bảo danh tính cá
nhân, doanh nghiệp.
7. Sở cứ xây dựng tiêu chuẩn
7.1 ITU-T
ITU-T X.509 (8/2005): Information technology – Open Systems Interconnection – The
Directory: Public-key and attribute certificate frameworks.
Đây là phiên bản cập nhật mới nhất của chứng thư số do ITU-T phát hành.

:  !"#
Tài liệu X.509 v3 (ITU-TREC 8/2005) đưa ra yêu cầu và khuôn dạng chuẩn cho các trường
cơ bản cũng như mở rộng của chứng thư số.
Trường cơ bản : có 10 trường cơ bản, tuy nhiên ITU-T khuyến nghị nên sử dụng 8 truờng và
bắt buộc phải có trong tất cả các chứng thư số.
Trường mở rộng: Tài liệu liệt kê 16 trường mở rộng có thê sử dụng trong chứng thư số.
 Cấu trúc ASN.1 được đưa ra cụ thể cho từng trường– chấp nhận nguyên vẹn.
 Trong mỗi trường mở rộng có cờ quan trọng. Nếu cờ có giá trị TRUE có nghĩa là hệ
thống sử dụng chứng thư phải hiểu được trường này, nếu không sẽ huỷ bỏ chứng thư.
Nếu cờ có giá trị FALSE, nếu hệ thống sử dụng chứng thư không hiểu được trường
này thì chứng thư vẫn đựơc chấp nhận. Và việc thiết lập giá trị của cờ cho mỗi trường
mở rộng phụ thuộc vào tổ chức cung cấp dịch vụ chứng thư và loại chứng thư.
 Tuy nhiên việc sử dụng, chọn lựa các trường mở rộng chứng thư phụ thuộc vào loại
chứng thư và theo yêu cầu của từng tổ chức.
:  !DE
Trường cơ bản : Bao gồm 8 trường cơ bản bắt buộc phải có trong chứng thư thuộc tính.
Trường mở rộng: Tài liệu liệt kê 17 trường mở rộng có thể sử dụng trong chứng thư thuộc
tính.
 Cấu trúc ASN.1 được đưa ra cụ thể cho từng trường – chấp nhận nguyên vẹn.
 Trong mỗi trường mở rộng có cờ quan trọng. Nếu cờ có giá trị TRUE có nghĩa là hệ
thống sử dụng chứng thư phải hiểu được trường này, nếu không sẽ huỷ bỏ chứng thư.
Nếu cờ có giá trị FALSE, nếu hệ thống sử dụng chứng thư không hiểu đựoc trường
này thì chứng thư vẫn đựơc chấp nhận. Và việc thiết lập giá trị của cờ cho mỗi trường
mở rộng phụ thuộc vào tổ chức cung cấp dịch vụ chứng thư và loại chứng thư.
22
 Tuy nhiên việc sử dụng, chọn lựa các trường mở rộng chứng thư phụ thuộc vào loại
chứng thư và theo yêu cầu của từng tổ chức.
: '!6%
 Hệ thống thư mục hạ tầng khóa công khai - Chấp nhận nguyên vẹn
 Hệ thống quản lý quyền – chấp nhận nguyên vẹn.

7.2 IETF
:  !"#"$%42
@-; <
Tiêu chuẩn chứng thư số X.509 v3 của ITU có phạm vi ứng dụng khá rộng, nên để chuẩn hóa
tiêu chuẩn chứng thư số sử dụng trong môi trường Internet, nhóm nghiên cứu IETF đã xây
dựng tiêu chuẩn RFC 3280 (4/2002). Tiêu chuẩn này tuân theo X.509, tuy nhiên xác định
thêm các tiêu chuẩn kĩ thuật để có thể áp dụng trong môi trường Internet.
Trường cơ bản : có chín trường cơ bản bắt buộc phải có trong tất cả các chứng thư số- tương
tự các trường cơ bản sử dụng trong chứng thư số của X.509 v3.
Trường mở rộng: Tài liệu liệt kê 16 trường mở rộng có thể sử dụng trong chứng thư số-
tương tự các trường cơ bản sử dụng trong chứng thư số của X.509 v3.
Trường mở rộng sử dụng trong Internet: Tài liệu liệt kê 2 trường mở rộng sử dụng trong
Internet, đồng thời có đưa ra khuyến nghị chọn sử dụng 2 trường này cho từng loại chứng thư
số.
:  !DEFGHIJ"$
%42@; <
Cũng giống như RFC 3280, được xây dựng tuân theo X.509, tiêu chuẩn RFC 3281 (4/2002)
đưa ra yêu cầu và khuôn dạng chuẩn cho các trường cơ bản cũng như mở rộng trong chứng
thư thuộc tính dùng để nhận thực sử dụng trong môi trường Internet.
Trường cơ bản : có tám trường cơ bản bắt buộc phải có trong chứng thư thuộc tính.
Trường mở rộng: Tài liệu liệt kê 16 trường mở rộng sử dụng trong chứng thư thuộc tính.
8. Tiêu chí chọn lựa
Với những lợi ích về bảo mật và xác thực, chứng thư số hiện đã được sử dụng rộng rãi trên
thế giới như một công cụ xác minh danh tính của các bên trong giao dịch thương mại điện tử.
Đây là một nền tảng công nghệ mang tính tiêu chuẩn trên toàn cầu, mặc dù ở mỗi nước có
một số chính sách quản lý chứng thực số khác nhau.
Mỗi quốc gia đều cần có những CA bản địa để chủ động về các hoạt động chứng thực số
trong nước. Nhưng ngoài ra, nếu muốn thực hiện thương mại điện tử (TMĐT) vượt ra ngoài
23
biên giới, các quốc gia cũng phải tuân theo các chuẩn công nghệ chung, và thực hiện chứng

thực chéo, trao đổi và công nhận các CA của nhau. Đây cũng là những yếu tố quan trọng đối
với một quốc gia đang trong quá trình phát triển TMĐT như Việt Nam.
Qua nghiên cứu tham khảo các tài liệu tiêu chuẩn cũng như các khuôn dạng chứng thư số của
các nước trên thế giới, nhóm đề tài xác định các yêu cầu khi chọn lựa khuôn dạng chứng thư
số :
 Số lượng các trường không quá nhiều để tránh phức tạp trong việc lưu trữ cũng như
quá trình xử lý chứng thư.
 Tuy nhiên, các trường cũng không được quá ít để đảm bảo chứng thực đầy đủ và an
toàn dữ liệu khi lưu hành.
 Do đó, để đảm bảo đầy đủ thông tin và đảm bảo yêu cầu tối thiểu khi thực hiện giao
dịch với các nước trên thế giới, nhóm đề tài thực hiện như sau :
o Các trường cơ bản của chứng thư số: áp dụng nguyên vẹn theo tiêu chuẩn của
ITU-X509 v3 (8/2005), bổ sung các yêu cầu theo khuyến nghị của RFC 3280
(4/2002) dành cho môi trường Internet.
o Các trường mở rộng: Thực hiện so sánh đối chiếu khuôn dạng sử dụng chứng
thư số của các nước trên thế giới, lựa chọn các trường được dùng phổ biến nhất
để đảm bảo cần thiết khi giao dịch với nước ngoài. Khuôn dạng chuẩn của mỗi
quốc gia không hoàn toàn giống nhau, nhóm thực hiện đề tài để dạng tùy chọn
cho các CA tự quyết định có sử dụng hay không. Một số trường sẽ không được
sử dụng, nhóm thực hiện dề tài không đưa vào khuôn dạng chứng thư.
Phương thức lựa chọn trường được trình bày cụ thể trong bảng sau:

Tên trường
Root Sef-I Cross EE
ASIA USA VN USA VN ASIA USA VN ASIA USA VN
Authority Key
Identifier
O X O M M M M O M M M
Subject
KeyIdentifier

M M M M M M M M M M M
Key Usage O M M M M M M M M M M
Extended Key
Usages
X X X X X X X X X O O
Private Key
Usage Period
X X O X X X X X X O O
Certificate
Policies
O X O M M M M M M M M
Policy Mappings X X X X X M O O X X X
Subject
Alternative
Name
O O O X O O O O O O O
Issuer O O O O O O O O O O O
24
Alternative
Name
Subject
Directory
Attributes
X X X X X X X X X X X
Basic
Constraints
M M M M M M M M O O O
Name
Constraints
X X X X X O O O X X X

Policy
Constraints
X X X X X O O O X X X
CRL
Distribution
Points
O X O M M M M M M M M
Inhibit Any-
Policy
X X X X X X X X X X X
Authority
Information
Access
O X O O O X O O X O O
Subject
Information
Access
X M O M O X M O X X X
Freshest CRL X X X O O X O O X O O
9. Hình thức biên soạn tiêu chuẩn
Trên cơ sở phân tích tài liệu trên, nhóm thực hiện đề tài xây dựng tiêu chuẩn theo phương
pháp chấp thuận áp dụng có sửa đổi bổ sung tiêu chuẩn quốc tế (ITU-T), RFC 3280
(4/2002), RFC 3281(4/2002).
Bố cục của đề tài 79-07-KHKT-TC được xây dựng theo bố cục của ITU-T X.509
v3(8/2005)và RFC 3280 (4/2002), RFC 3281(4/2002):
 Liệt kê các trường cần có trong chứng thư số, chứng thư thuộc tính để thực hiện tham
chiếu khi xem xét khuôn dạng chứng thư.
 Trong mỗi trường, nêu đầy đủ vai trò, cấu trúc theo X.509 v3 (8/2005), và cả cách áp
dụng cụ thể (nếu có ) cho chứng thư sử dụng trong môi trường Internet.
 Đưa ra khuôn dạng chứng thư số và chứng thư thuộc tính:

o Liệt kê các trường cơ bản phải sử dụng
o Liệt kê các trường mở rộng bắt buộc sử dụng
o Liệt kê các trường mở rộng tùy chọn sử dụng
o Không liệt kê các trường không được chọn
 Thư mục
25