HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

ĐỀ TÀI BÁO CÁO
Môn Chứng thực điện tử

CÀI ĐẶT VÀ CẤU HÌNH HỆ
THỐNG OPENCA
Cán bộ hướng dẫn: Thầy Hoàng Đức Thọ
Nhóm sinh viên thực hiện:
-

Trần Thế Anh
Trần Văn Dũng
Nguyễn Thị Hoa
Nguyễn Đức Hưng
Đỗ Đăng Khoa
Đặng Trung Kiên
Trần Trọng Kỳ
Ngô Hoàng Hạnh Nhân
Đinh Thị Thủy Tiên
Bùi Xuân Tiến

Lớp: AT9A

HÀ NỘI 3/2016


HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

ĐỀ TÀI BÁO CÁO
Môn Chứng thực điện tử

CÀI ĐẶT VÀ CẤU HÌNH HỆ
THỐNG OPENCA
Nhận xét của cán bộ hướng dẫn:.......................................................................................
..........................................................................................................................................
..........................................................................................................................................
...........................................................................................................................................
..........................................................................................................................................
..........................................................................................................................................
Điểm chuyên cần:..............................................................................................................
Điểm báo cáo:....................................................................................................................

Xác nhận của cán bộ hướng dẫn


MỤC LỤC
MỤC LỤC.............................................................................................................1
BẢNG KÝ HIỆU..................................................................................................3
DANH MỤC HÌNH VE........................................................................................4
LỜI NÓI ĐẦU.......................................................................................................5
CHƯƠNG I. MẬT MÃ KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ........................6
1.1.

Mật mã khóa công khai.........................................................................6

1.1.1.

Thuật toán RSA...............................................................................6


1.1.2.

Thuật toán thỏa thuận khóa Diffie-Hellman....................................7

1.2.

Chữ ký số...............................................................................................7

CHƯƠNG II. TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG KHAI.......8
2.1.

Khái niệm cơ sở hạ tầng khóa công khai...............................................8

2.2.

Các khái niệm liên quan trong PKI.....................................................10

2.2.1.

Chứng chỉ......................................................................................10

2.2.2.

Kho chứng chỉ...............................................................................11

2.2.3.

Thu hồi chứng chỉ..........................................................................11


2.2.4.

Công bố và gửi thông báo thu hồi chứng chỉ................................12

2.2.5.

Sao lưu và dự phòng khóa.............................................................13

2.2.6.

Cập nhật khóa tự động...................................................................13

2.2.7.

Lịch sử khóa..................................................................................14

2.2.8.

Chứng thực chéo............................................................................14

2.2.9.

Hỗ trợ chống chối bỏ.....................................................................14

2.2.10.

Tem thời gian..............................................................................15

2.2.11.


Phần mềm phía người dùng........................................................15

2.2.12.

Chính sách của chứng chỉ...........................................................15

1


2.3.

Các thành phần của một hệ thống PKI................................................16

2.3.1.

Tổ chức chứng thực (Certification Authority)...............................17

2.3.2.

Trung tâm đăng ký (Registration Authorites)................................17

2.3.3.

Thực thể cuối (end entity).............................................................18

2.3.4.

Hệ thống lưu trữ (Repositories).....................................................18

2.4.


Chức năng cơ bản của PKI..................................................................19

2.4.1.

Chứng thực (certification).............................................................19

2.4.2.

Thẩm tra (validation).....................................................................19

2.4.3.

Một số chức năng khác..................................................................20

2.5.

Mục tiêu của PKI.................................................................................23

CHƯƠNG III. TỔNG QUAN VỀ HỆ THỐNG OPENCA.................................24
3.1.

Giới thiệu về OpenCA.........................................................................24

3.2.

Thiết kế chung của OpenCA...............................................................25

CHƯƠNG IV. CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG OPENCA....................26
4.1.


Chuẩn bị...............................................................................................26

4.1.1.

Chuẩn bị về phần mềm..................................................................26

4.1.2.

Chuẩn bị về phần cứng..................................................................26

4.2.

Cài đặt và cấu hình..............................................................................26

4.2.1.

Khởi tạo CA..................................................................................26

4.2.2.

Khởi tạo chứng chỉ cho người quản trị..........................................30

4.2.3.

Khởi tạo RA..................................................................................33

TÀI LIỆU THAM KHẢO...................................................................................34

2



BẢNG KÝ HIỆU

CA

Certification Authority

CRL

Certificate Revocation List

CRR

Certificate Revocation Request

CSR

Certificate Signing Request

OCSP

Online Certificate Status Protocol

PKI

Public Key Infrastructures

PIN


Personal Identification Number

SQL

Structured Query Language

SSL

Secure Sockets Layer

TLS

Transport Layer Security

VPN

Virtual Private Network

3


DANH MỤC HÌNH VE
Hình 2.1. Các thành phần của một hệ thống PKI................................................16
Hình 3.1. Logo của OpenCA…………………………………………………...24
Hình 3.2. Một số module trong hệ thống OpenCA.............................................25
Hình 4.1. Giao diện quản lý và cấu hình RootCA...............................................26
Hình 4.2. Ba bước thiết lập CA...........................................................................27
Hình 4.3. Khởi tạo cơ sở dữ liệu và khóa cho CA..............................................27
Hình 4.4. Tạo khóa bí mật cho CA......................................................................28
Hình 4.5. Khóa bí mật của CA............................................................................28

Hình 4.6. Tạo yêu cầu cấp chứng chỉ cho CA.....................................................29
Hình 4.7. Nội dung yêu cầu chứng chỉ................................................................29
Hình 4.8. Lựa chọn Self Signed CA để tự chứng thực CA.................................29
Hình 4.9. Chứng chỉ của CA...............................................................................30
Hình 4.10. Tạo chứng chỉ cho người quản trị.....................................................30
Hình 4.11. Khai báo các thông tin cơ bản...........................................................31
Hình 4.12. Khai báo chi tiết chứng chỉ................................................................31
Hình 4.13. Khai báo mã PIN...............................................................................31
Hình 4.14. Thỏa thuận người dùng......................................................................32
Hình 4.15. Tạo yêu cầu.......................................................................................32
Hình 4.16. Ký chứng chỉ.....................................................................................33
Hình 4.17. Download chứng chỉ về máy.............................................................33

4


LỜI NÓI ĐẦU
Ngày nay, Public Key Infrastructures (PKI) – cơ sở hạ tầng khóa công khai
được phát triển rộng rãi. Trung tâm tin cậy (Trustcenter) là một bên thứ 3 đáng
tin cậy nhằm xác nhận danh tính cụ thể cho các đối tác trong quá trình giao dịch
điện tử. Tuy nhiên, để thiết lập được một hệ thống PKI là vô cùng khó khăn và
tốn kém bởi trung tâm tin cậy có tính linh hoạt (đặc biệt là cho Unix) rất đắt.
Điều đó chính là điểm khởi đầu cho sự ra đời của hệ thống OpenCA. OpenCA là
một hệ thống trustcenter mã nguồn mở hỗ trợ cộng đồng với một giải pháp tốt,
rẻ tiền và thích ứng với mọi cơ sở hạ tầng.
Trên cơ sở những kiến thức được học, nhóm chúng em đã chọn đề tài
“Installation and Configuration of OpenCA” để tìm hiểu về hệ thống OpenCA,
từ đó triển khai cài đặt và cấu hình một số dịch vụ trên OpenCA.
Nội dung báo cáo gồm 4 chương:
Chương I. Mật mã khóa công khai và chữ ký số: Tổng quát về thuật

toán RSA, thuật toán thỏa thuận khóa Diffie – Hellman và chữ ký số.
Chương II. Tổng quan về cơ sở hạ tầng khóa công khai: Giới thiệu tổng
quan về PKI và một số khái niệm liên quan trong PKI.
Chương III. Tổng quan về hệ thống OpenCA: Sau khi tìm hiểu về PKI,
ở chương này sẽ giới thiệu một cách tổng quát về hệ thống OpenCA.
Chương IV. Cài đặt và cấu hình hệ thống OpenCA: Nêu lên các bước cụ
thể để triển khai cài đặt và cấu hình OpenCA, thiết lập một cơ sở hạ tầng tốt.
Trong quá trình thực hiện, do hạn chế về kiến thức nên còn rất nhiều thiếu
sót, chúng em rất mong nhận được ý kiến nhận xét của thầy để báo cáo của
chúng em được hoàn thiện hơn.

Chúng em xin chân thành cảm ơn !
Hà Nội, tháng 3 năm 2016
Nhóm sinh viên thực hiện báo cáo

5


CHƯƠNG I. MẬT MÃ KHÓA CÔNG KHAI VÀ CHỮ KÝ SỐ
1.1. Mật mã khóa công khai
Mật mã khóa công khai là một dạng mật mã cho phép người sử dụng trao
đổi các thông tin mật mã mà không cần phải trao đổi các khóa chung bí mật
trước đó. Điều này được thực hiện bằng cách sử dụng một cặp khóa có quan hệ
toán học với nhau là khóa công khai và khóa bí mật.
Trong mật mã khóa công khai, khóa cá nhân phải được giữ bí mật trong khi
khóa công khai được phổ biến công khai. Trong 2 khóa, một khóa dùng để mã
hóa và khóa còn lại dùng để giải mã. Điều quan trọng đối với hệ thống là không
thể tìm ra khóa bí mật nếu chỉ biết khóa công khai.
Hệ thống mật mã khóa công khai có thể được sử dụng với các mục đích:


• Mã hóa: giữ bí mật thông tin và chỉ có người có khóa bí mật mới giải
mã được thông tin đó.

• Tạo chữ ký số: cho phép kiểm tra một văn bản có phải đã được tạo bởi
một khóa bí mật nào đó không.

• Thỏa thuận khóa: cho phép thiết lập khóa dùng để trao đổi thông tin mật
giữa 2 bên.
1.1.1. Thuật toán RSA
Trong mật mã học, RSA là một thuật toán mã hóa khóa công khai. Đây là
thuật toán đầu tiên phù hợp với việc tạo ra chữ ký điện tử đồng thời với việc mã
hóa. Nó đánh dấu một sự tiến bộ vượt bậc của lĩnh vực mật mã trong việc sử
dụng khóa công khai. RSA đang được sử dụng phổ biến trong thương mại điện
tử và được cho là đảm bảo an toàn với điều kiện độ dài khóa đủ lớn.
Thuật toán RSA có hai khóa: khóa công khai và khóa bí mật. Mỗi khóa là
những số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai
được công bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin
được mã hóa bằng khóa công khai chỉ có thể giải mã bằng khóa bí mật tương
ứng. Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa
bí mật mới có thể giải mã được.

6


Tuy nhiên RSA có tốc độ thực hiện chậm hơn đáng kể so với DES và các
thuật toán mã hóa đối xứng khác, Trên thực tế, người ta sử dụng một thuật toán
mã hóa đối xứng nào đó để mã hóa văn bản cần gửi và chỉ sử dụng RSA để mã
hóa khóa để giải mã.
1.1.2. Thuật toán thỏa thuận khóa Diffie-Hellman
Đây là sơ đồ khóa công khai đầu tiên. Tuy nhiên, đó không phải là một sơ

đồ mã hóa khóa công khai thực sự, mà chỉ dùng cho trao đổi khóa. Các khóa bí
mật được trao đổi bằng cách sử dụng các trạm trung gian riêng tin cậy. Phương
pháp này cho phép các khóa bí mật được truyền an toàn thông qua các môi
trường không bảo mật. Tính bảo mật của trao đổi khóa Diffie-Hellman nằm ở
chỗ: tính hàm mũ modul của một số nguyên tố là khá dễ dàng nhưng tính logarit
rời rạc là rất khó.
1.2. Chữ ký số
Chữ ký số là thông tin đi kèm theo dữ liệu (văn bản, hình ảnh, video, … )
nhằm mục đích xác định người chủ của dữ liệu đó. Để sử dụng chữ ký số thì dữ
liệu cần phải được mã hóa bằng hàm băm (dữ liệu được "băm" ra thành chuỗi,
thường có độ dài cố định và ngắn hơn văn bản) sau đó dùng khóa bí mật của
người chủ khóa để mã hóa, khi đó ta được chữ ký số. Khi cần kiểm tra, bên nhận
giải mã (với khóa công khai) để lấy lại chuỗi gốc (được sinh ra qua hàm băm
ban đầu) và kiểm tra với hàm băm của văn bản nhận được. Nếu 2 giá trị (chuỗi)
này khớp nhau thì bên nhận có thể tin tưởng rằng dữ liệu xuất phát từ người sở
hữu khóa bí mật.
Chữ ký số khóa công khai dựa trên nền tảng mật mã khóa công khai. Để có
thể trao đổi thông tin trong môi trường này, mỗi người sử dụng có một cặp khóa:
khóa công khai và khóa bí mật. Khóa công khai được công bố rộng rãi còn khóa
bí mật phải được giữ kín và không thể tìm được khóa bí mật nếu chỉ biết khóa
công khai.
Toàn bộ quá trình gồm 3 thuật toán:

• Thuật toán tạo khóa
• Thuật toán tạo chữ ký số
• Thuật toán kiểm tra chữ ký số
7


CHƯƠNG II. TỔNG QUAN VỀ CƠ SỞ HẠ TẦNG KHÓA CÔNG


KHAI
2.1. Khái niệm cơ sở hạ tầng khóa công khai
Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng được
mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền thông và giao
dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng
dùng email trên các mạng công cộng. Hầu hết các thông tin kinh doanh nhạy
cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử. Sự thay đổi
trong các hoạt động truyền thông doanh nghiệp này đồng nghĩa với việc người
sử dụng phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước các
nguy cơ lừa đảo, can thiệp, tấn công, phá hoại hoặc vô tình tiết lộ các thông tin
đó. Cơ sở hạ tầng khóa công khai – Public Key Infrastructures (PKI) cùng các
tiêu chuẩn và các công nghệ ứng dụng của nó có thể được coi là một giải pháp
tổng hợp và độc lập có thể sử dụng để giải quyết vấn đề này.
 Khả năng bảo mật (Secure): Đạt tiêu chuẩn quốc tế về bảo mật EAL4+,
đáp ứng hầu hết các thiết bị HSM và Smartcard.
 Khả năng mở rộng (Scalable): Dựa trên kiến trúc PKI hiện đại, được thiết
kế theo mô hình có độ sẵn sàng cao, có khả năng mở rộng để cấp phát số
lượng lớn chứng thư số một cách dễ dàng.
 Khả năng sẵn sàng (Available): Tất cả chính sách, log, dữ liệu về chứng
thư số và CRL được lưu trữ trên cơ sở dữ liệu tin cậy và bảo mật ví dụ:
Oracle hệ cơ sở dữ liệu lớn nhất và đáng tin cậy nhất trên thế giới.
 Khả năng mở, tương thích (Open): Được thiết kế để tuân thủ các tiêu
chuẩn mở quốc tế như X509, PKIX, LDAP...
 Khả năng kiểm soát bằng chính sách (Policy Driven): Hệ thống có khả
năng áp dụng các chính sách khác nhau với việc đăng ký các loại chứng
thư số khác nhau.
 Khả năng linh động (Flexible): Có thể hỗ trợ nhiều phương thức đăng ký
chứng thư số khác nhau: Web, Email, Face-to-face, CMP, SCEP...


8


Trong mật mã học, PKI là một cơ chế để cho một bên thứ 3 (thường là nhà
cung cấp chứng thư số) cung cấp và xác thực định danh các bên tham gia vào
quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử
dụng trong hệ thống một cặp khóa công khai và khóa bí mật. Các quá trình này
thường được thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm
phối hợp khác tại các địa điểm của người dùng. Khóa công khai thường được
phân phối trong chứng thực khóa công khai.
Khái niệm cơ sở hạ tầng khóa công khai (PKI) thường được dùng để chỉ
toàn bộ hệ thống bao gồm nhà cung cấp chứng thư số (Certificate Authority)
cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mã
hóa khóa công khai trong trao đổi thông tin.
PKI bản chất là một hệ thống công nghệ vừa mang tính tiêu chuẩn, vừa
mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng
thực điện tử (digital certificate) cũng như các mã khoá công cộng và cá nhân.
Tới nay, những nỗ lực hoàn thiện PKI vẫn đang được đầu tư và thúc đẩy.
Và để hiện thực hoá ý tưởng này, các tiêu chuẩn cần phải được nghiên cứu phát
triển ở các mức độ khác nhau bao gồm: mã hoá, truyền thông và liên kết, xác
thực, cấp phép và quản lý. Nhiều chuẩn bảo mật trên mạng Internet, chẳng hạn
Secure Sockets Layer/Transport Layer Security (SSL/TLS) và Virtual Private
Network (VPN), chính là kết quả của sáng kiến PKI.
Quá trình nghiên cứu và phát triển PKI là một quá trình lâu dài và cùng với
nó, mức độ chấp nhận của người dùng cũng tăng lên 1 cách khá chậm chạp. PKI
có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản
trí tuệ cả trong và ngoài phạm vi công ty. Tuy nhiên, chi phí và/hoặc sự phức tạp
của nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng.
Đa phần các giao dịch truyền thông của doanh nghiệp với khách hàng,
chính quyền và các đối tác khác đều được diễn ra một cách điện tử. Ngày nay,

một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy.
Từ góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa trở nên đơn giản
hơn. Nhiều hãng khác cũng cung cấp các giải pháp PKI. Những tính năng này,
cùng khả năng quản lý và liên kết PKI, đã được tích hợp vào hệ điều hành và các
ứng dụng có liên quan.
9


PKI là công nghệ xác thực đầu tiên và hoàn thiện nhất sử dụng phương
pháp mã hoá dựa trên khoá bí mật và khoá công cộng. Tuy nhiên, PKI cũng bao
gồm cả việc ứng dụng rộng rãi các dịch vụ bảo mật khác, bao gồm dịch vụ dữ
liệu tin cậy, thống nhất dữ liệu về tổng thể và quản lý mã khoá.
2.2. Các khái niệm liên quan trong PKI
2.2.1. Chứng chỉ
Chứng chỉ là một tài liệu sử dụng chữ ký số kết hợp với khóa công khai với
một định danh thực thể (cá nhân, tổ chức, máy chủ, dịch vụ,…). Chứng chỉ
không chứa bất kỳ một thông tin bí mật nào. Về cơ bản, chứng chỉ chứa những
thông tin cần thiết như khóa công khai, chủ thể (người sở hữu), bên cấp chứng
chỉ và một số thông tin khác. Tính hợp lệ của các thông tin được đảm bảo bằng
chữ ký số của bên cấp chứng chỉ. Người dùng muốn sử dụng chứng chỉ trước hết
sẽ kiểm tra chữ ký số trong chứng chỉ. Nếu chữ ký đó hợp lệ thì có thể sử dụng
chứng chỉ đó.
Có nhiều loại chứng chỉ, một trong số đó là:
 Chứng chỉ khóa công khai X.509
 Chứng chỉ khóa công khai đơn giản (Simple Public Key Certificate –
SPKC)
 Chứng chỉ PGP
 Chứng chỉ thuộc tính (Attribute Certificate – AC)
Tất cả các loại chứng chỉ này đều có cấu trúc dạng riêng biệt. Hiện nay
chứng chỉ khóa công khai X.509 được sử dụng phổ biến trong hầu hết các hệ

thống PKI. Chứng chỉ X.509 được Hiệp hội viễn thông quốc tế (ITU) đưa ra lần
đầu tiên năm 1998. Chứng chỉ này gồm 2 phần: phần đầu là những trường cơ
bản cần thiết phải có trong chứng chỉ, phần thứ hai là phần chứa một số các
trường phụ, hay còn gọi là trường mở rộng. Các trường mở rộng thường được
dùng để xác định và đáp ứng những yêu cầu bổ sung của hệ thống.

10


Cấu trúc chứng chỉ X.509
 Version : phiên bản của chứng chỉ
 Serial Number: số serial của chứng chỉ, là định danh duy nhất của chứng
chỉ, có giá trị nguyên.
 Certificate Signature Algorithm: thuật toán CA sử dụng để ký chứng chỉ
 Issuer: Tên chủ thể phát hành chứng chỉ
 Validity: Thời hạn của chứng chỉ
 Subject: Tên chủ thể của chứng chỉ
 Subject Public Key Info
 Subject Public Key Algorithm: Thuật toán sinh khóa công khai
 Subject's Public Key: Khóa công khai
 Extensions: Phần mở rộng.
2.2.2. Kho chứng chỉ
Chứng chỉ được cấp bởi CA kết hợp với khóa công khai với nhận dạng của
thực thể B. Tuy nhiên nếu thực thể A không có khả năng xác định vị trí chứng
chỉ này một cách dễ dàng thì anh ta cũng không có hiệu quả gì hơn so với việc
chứng chỉ này chưa được tạo ra.
Do đó, phải có một kho chứng chỉ trực tuyến (online repositories), quy mô
lớn và mềm dẻo và phải được đặt ở vị trí mà A có thể xác định vị trí chứng chỉ
mà anh ta cần để truyền thông an toàn.
2.2.3. Thu hồi chứng chỉ

Trong một số trường hợp như khóa bị xâm hại, hoặc người sở hữu chứng
chỉ thay đổi vị trí, cơ quan … thì chứng chỉ đã được cấp không có hiệu lực. Do
đó, cần phải có một cơ chế cho phép người sử dụng chứng chỉ kiểm tra được
trạng thái thu hồi chứng chỉ. X.509 cho phép kiểm tra chứng chỉ trong các
trường hợp sau:
 Chứng chỉ không bị thu hồi
 Chứng chỉ đã bị CA cấp thu hồi

11


 Chứng chỉ do một tổ chức có thẩm quyền mà CA ủy thác có trách
nhiệm thu hồi chứng chỉ.
2.2.4. Công bố và gửi thông báo thu hồi chứng chỉ
Danh sách huỷ bỏ chứng thực điện tử bao gồm các chứng thực đã hết hạn
hoặc đã bị thu hồi. Tất cả các xác thực đều có thời hạn. Đây là một quy định
mang tính thiết kế, tuy nhiên trước đây, rất khó thực hiện quy định này bởi việc
gia hạn chứng thực thường phải được thông báo tới tất cả người dùng sử dụng
chứng thực đó. Tính năng này bảo đảm rằng các chứng thực hết hạn sẽ được gia
hạn tự động khi đến thời hạn.
Với một số lý do nhất định cần thiết phải huỷ bỏ chứng thực chứ không chỉ
đơn thuần là làm cho nó hết hạn. Công việc này có thể được thực hiện thông qua
cơ chế danh sách huỷ bỏ chứng thực tự động. Các chủ thể có thẩm quyền cấp
phép chứng thực (CA) thông thường sẽ làm công việc gửi các danh sách này tới
người dùng, tuy nhiên họ cũng có thể uỷ nhiệm cho một bộ phận khác.
Thông thường chứng chỉ sẽ hợp lệ trong khoảng thời gian có hiệu lực.
Nhưng trong một số trường hợp chứng chỉ lại không hợp lệ trước thời gian hết
hạn, ví dụ như:
 Khóa riêng của chủ thể bị xâm phạm
 Thông tin chứa trong chứng chỉ bị thay đổi

 Khóa riêng của CA cấp chứng chỉ bị xâm phạm
Trong những trường hợp này cần có một cơ chế để thông báo đến những
người sử dụng khác Một trong những phương pháp để thông báo đến người sử
dụng về trạng thái của chứng chỉ là công bố CRLs định kỳ hoặc khi cần thiết.
Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng như
dùng phương pháp trực tuyến Online Certificate Status Protocol
CRLs (Certificate Revocation Lists) là cấu trúc dữ liệu được ký như chứng
chỉ người sử dụng. CRLs chứa danh sách các chứng chỉ đã bị thu hồi và những
thông tin cần thiết khác của ngườisử dụng. CRL thường do một CA cấp. Tuy
nhiên CRL cũng có thể được sử dụng để cung cấp thông tin cho nhiều CA nếu
nó được định nghĩa như một CRL gián tiếp.

12


2.2.5. Sao lưu và dự phòng khóa
Trong bất kỳ một môi trương PKI đang hoạt động, khả năng làm mất hoặc
sai các mã khoá riêng của người dùng là rất lớn, do đó cần phải có một cơ chế
lưu trữ dự phòng và khôi phục mã khoá. Không có khoá riêng, việc khôi phục tài
liệu là không thể được xét trên thực tế. Nguyên nhân có thể là do:
 Quên mật khẩu: Khoá bí mật của người dùng vẫn còn về mặt vật lý nhưng
không thể truy cập được.
 Phương tiện bị hỏng hóc: Ví dụ như đĩa cứng bị hỏng hoặc thẻ thông minh
bị gãy.
 Sự thay thế của phương tiện: Hệ điều hành được tải lại (ghi đè lên các
giấy tờ uỷ nhiệm cục bộ) hoặc một mô hình máy tính cũ hơn được thay
thế bằng một mô hình máy tính mới hơn và các giấy tờ uỷ nhiệm không
được chuyển trước khi đĩa cũ bị format.
Giải pháp đưa ra là thực hiện việc sao lưu và dự phòng khóa bí mật. Việc
này là cần thiết, nó tạo nên phần mở rộng trong định nghĩa PKI.

2.2.6. Cập nhật khóa tự động
Một chứng chỉ có thời gian sống hữu hạn. Khi chứng chỉ bị hết hạn sẽ được
thay thế bằng một chứng chỉ mới. Thủ tục này được gọi là cập nhật khoá hay cập
nhật chứng chỉ. Vấn đề đặt ra là người dùng PKI sẽ thường cảm thấy bất tiện khi
phải cập nhật khoá thủ công và thông thường thì họ sẽ không nhớ thời hạn hết
hạn của chứng chỉ hoặc khi thực hiện cập nhật khoá khi đã hết hạn thường gặp
phải nhiều thủ tục phức tạp hơn.
Giải pháp đưa ra là xây dựng PKI theo cách mà toàn bộ khoá hoặc chứng
chỉ sẽ được cập nhật hoàn toàn tự động mà không cần có sự can thiệp nào của
người dùng. Mỗi khi chứng chỉ của người sử dụng được dùng đến cho một mục
đích bất kỳ, thời gian hợp lệ của nó sẽ được kiểm tra. Khi sắp hết hạn thì hoạt
động làm mới chứng chỉ sẽ diễn ra, chứng chỉ mới sẽ được tạo ra thay thế chứng
chỉ cũ và giao dịch của được yêu cầu của người dùng sẽ tiếp tục diễn ra.
Bởi vì quá trình cập nhật khoá tự động là nhân tố sống còn đối với PKI hoạt
động trong nhiều môi trường, do đó, nó tạo nên một phần định nghĩa của PKI.

13


2.2.7. Lịch sử khóa
Trong suốt quá trình sử dụng PKI, một người dùng có thể có nhiều chứng
chỉ cũ và có ít nhất một chứng chỉ hiện tại. Tập hợp các chứng chỉ này với các
khoá bí mật tương ứng được gọi là lịch sử khoá (key history) hay còn gọi là lịch
sử khoá và chứng chỉ.
Cũng giống như sự cập nhật khoá, quản lý lịch sử khoá phải được thực hiện
và duy trì tự động trong PKI. PKI cần phải nắm giữ được tất cả các khoá trong
lịch sử, thực hiện sao lưu và dự phòng tại vị trí thích hợp.
2.2.8. Chứng thực chéo
Trong môi trường thực tế, không phải chỉ có một PKI toàn cục duy nhất
hoạt động mà thực tế có rất nhiều PKI được triển khai, hoạt động, phục vụ trong

các môi trường và cộng đồng người dùng khác nhau. Khi các PKI hoạt động
phối hợp, liên kết với nhau, sẽ nảy sinh vấn đề là làm thế nào để đảm bảo an
toàn truyền thông giữa các cộng đồng người dùng trong các PKI?
Khái niệm chứng thực chéo đã nảy sinh trong môi trường PKI để giải quyết
nhu cầu này nhằm tạo ra mối quan hệ tin tưởng giữa các PKI không có quan hệ
với nhau trước đó. Chứng thực chéo là cơ chế cho phép người dùng của một
cộng đồng PKI này xác nhận tính hợp lệ chứng chỉ của người dùng khác trong
một cộng đồng PKI khác.
2.2.9. Hỗ trợ chống chối bỏ
Trong môi trường hoạt động của PKI, mỗi hành động của người dùng luôn
gắn với định danh của họ. Nếu một người dùng ký số văn bản của mình, thì có
nghĩa người dùng đó khẳng định rằng văn bản đó xuất phát từ phía mình.
PKI cần phải đảm bảo rằng người dùng đó không thể chối bỏ trách nhiệm
mà mình đã thực hiện. Cơ chế này được gọi là cơ chế hỗ trợ chống chối bỏ. Để
thực hiện được cơ chế hỗ trợ chống chối bỏ, PKI cần phải cung cấp một vài các
bằng chứng kỹ thuật được yêu cầu, như là xác thực nguồn gốc dữ liệu và chứng
thực thời gian mà dữ liệu được ký.
2.2.10. Tem thời gian
Một nhân tố quan trọng trong việc hỗ trợ các dịch vụ chống chối bỏ là sử
dụng tem thời gian an toàn (secure time stamping) trong PKI. Nghĩa là nguồn
14


thời gian phải được tin cậy và giá trị thời gian phải được truyền đi một cách an
toàn. Do đó cần phải có một nguồn thời gian có thể tin tưởng được cho tất cả
người dùng trong PKI.
2.2.11. Phần mềm phía người dùng
Trong mô hình PKI, các server sẽ thực hiện những nhiệm vụ sau:
 CA cung cấp các dịch vụ chứng chỉ
 Kho chứng chỉ sẽ lưu giữ các thông tin chứng chỉ và hủy bỏ chứng chỉ

 Máy chủ sao lưu và dự phòng sẽ quản lý lịch sử khóa một cách phù hợp
 Máy chủ tem thời gian sẽ kết hợp các thông tin thời gian có thể tin tưởng
được với các tài liệu văn bản
Server không thể thực hiện bất kỳ điều gì cho các máy khách nếu như máy
khách không đưa ra các yêu cầu dịch vụ. Do đó nhiệm vụ của máy khách sẽ là
 Máy khách đưa ra yêu cầu các dịch vụ chứng thực
 Máy khách yêu cầu chứng chỉ và xử lý các thông tin hủy bỏ chứng chỉ có
liên quan
 Máy khách phải biết lịch sử khóa và phải biết khi nào cần yêu cầu cập
nhật khóa hoặc hủy bỏ khóa
 Máy khách phải biết khi nào nó cần phải yêu cầu tem thời gian trên văn
bản
Phần mềm phía client là một thành phần thiết yếu của PKI tích hợp đầy đủ
tính năng trên.
2.2.12. Chính sách của chứng chỉ
Chính sách có định danh duy nhất và định danh này được đăng ký để người
cấp và người sử dụng chứng chỉ có thể nhận ra và tham chiếu đến. Một chứng
chỉ có thể được cấp theo nhiều chính sách. Một chính sách chứng chỉ cũng có
thể được hiểu là việc giải thích những yêu cầu và giới hạn liên quan đến việc sử
dụng chứng chỉ được công bố theo những chính sách này.

15


Chính sách chứng chỉ - Certificate Policies (CP) được chứa trong trường
mở rộng chuẩn của chứng chỉ X.509. Bằng việc kiểm tra trường này trong chứng
chỉ, hệ thống sử dụng chứng chỉ có thể xác định được một chứng chỉ cụ thể có
thích hợp cho mục đích sử dụng hay không.
2.3. Các thành phần của một hệ thống PKI
Một hệ thống PKI gồm các thành phần sau

 Certificate Authorites (CA): cấp và thu hồi chứng chỉ.
 Registration Authorites (RA): gắn kết giữa khóa công khai và định danh
của người giữ chứng chỉ
 Clients: Người sử dụng cuối hoặc hệ thống là chủ thể của chứng chỉ PKI.
 Repositories: Hệ thống lưu trữ chứng chỉ và danh sách các chứng chỉ bị
thu hồi. Cung cấp cơ chế phân phối chứng chỉ và CRLs đến các thực thể
cuối.
Các thành phần PKI và các mối quan hệ giữa chúng được chỉ ra như trong
hình sau. Đây là mô hình kiến trúc PKI do PKIX đưa ra.

Hình 2.1. Các thành phần của một hệ thống PKI

16


2.3.1. Tổ chức chứng thực (Certification Authority)
Trong hạ tầng cơ sở khoá công khai, chứng chỉ có vai trò gắn kết giữa định
danh với khoá công. Sự gắn kết này thể hiện trong dạng cấu trúc dữ liệu được ký
số được đề cập đến như chứng chỉ đã được thảo luận ở phần trước. Một
Certificate Authority (CA) là một thực thể PKI có trách nhiệm cấp chứng chỉ
cho các thực thể khác trong hệ thống.
Thẩm quyền chứng thực - CA cũng được gọi là bên thứ ba được tin tưởng
vì người sử dụng cuối tin tưởng vào chữ ký số của CA trên chứng chỉ trong khi
thực hiện những hoạt động mã hoá khoá công khai cần thiết CA thực hiện chức
năng xác thực bằng cách cấp chứng chỉ cho các CA khác và cho thực thể cuối
(người giữ chứng chỉ) trong hệ thống. Nếu CA nằm ở đỉnh của mô hình phân
cấp PKI và chỉ cấp chứng chỉ cho những CA ở mức thấp hơn thì chứng chỉ này
được gọi là chứng chỉ gốc “root certificate”.
2.3.2. Trung tâm đăng ký (Registration Authorites)
Mặc dù CA có thể thực hiện những chức năng đăng ký cần thiết, nhưng đôi

khi cần có thực thể độc lập thực hiện chức năng này. Thực thể này được gọi là
“Registration Authority” - trung tâm đăng ký. Ví dụ khi số lượng thực thể cuối
trong miền PKI tăng lên và số thực thể cuối này được phân tán khắp nơi về mặt
địa lý thì việc đăng ký tại một CA trung tâm trở thành vấn đề khó giải quyết. Để
giải quyết vấn đề này cần thiết phải có một hoặc nhiều RAs (trung tâm đăng ký
địa phương). Mục đích chính của RA là để giảm tải công việc của CA. Chức
năng thực hiện của một RA cụ thể sẽ khác nhau tuỳ theo nhu cầu triển khai PKI
nhưng chủ yếu bao gồm những chức năng sau:
 Xác thực cá nhân, chủ thể đăng ký chứng chỉ
 Kiểm tra tính hợp lệ của thông tin do chủ thể cung cấp
 Xác nhận quyền của chủ thể đối với những thuộc tính chứng chỉ được yêu
cầu.
 Kiểm tra xem chủ thể có thực sự sở hữu khóa riêng đang được đăng ký
hay không - điều này thường được đề cập đến như sự chứng minh sở hữu
(proof of possesion – POP).
 Tạo cặp khóa bí mật, công khai

17


 Phân phối bí mật được chia sử đến thực thể cuối (ví dụ: khóa công khai
của CA)
 Thay mặt chủ thể thực thể cuối khởi tạo quá trình đăng ký với CA
 Lưu trữ khóa riêng
 Khởi sinh quá trình khôi phục khóa
 Phân phối thẻ bài vật lý (thẻ thông minh)
2.3.3. Thực thể cuối (end entity)
Thực thể cuối trong PKI có thể là con người, thiết bị, và thậm chí là một
chương trình phần mềm nhưng thường là người sử dụng hệ thống. Thực thể cuối
sẽ thực hiện những chức năng mật mã (mã hoá, giải mã và ký số).

2.3.4. Hệ thống lưu trữ (Repositories)
Chứng chỉ (khoá công khai) và thông tin thu hồi chứng chỉ phải được phân
phối sao cho những người cần đến chứng chỉ đều có thể truy cập và lấy được.
Có 2 phương pháp phân phối chứng chỉ:
 Phân phối cá nhân: Đây là cách phân phối cơ bản nhất. Trong phương
pháp này thì mỗi cá nhân sẽ trực tiếp đưa chứng chỉ của họ cho người
dùng khác. Việc này có thể thực hiện theo một số cơ chế khác nhau.
Chuyển giao bằng tay chứng chỉ được lưu trong đĩa mềm hay trong một
số các môi trường lưu trữ khác. Cũng có thể phân phối bằng cách gắn
chứng chỉ trong email để gửi cho người khác. Cách này thực hiện tốt
trong một nhóm ít người dùng nhưng khi số lượng người dùng tăng lên
thì có thể xảy ra vấn đề về quản lý.
 Phân phối công khai: Một phương pháp khác phổ biến hơn để phân phối
chứng chỉ (và thông tin thu hồi chứng chỉ) là công bố các chứng chỉ rộng
rãi, các chứng chỉ này có thể sử dụng một cách công khai và được đặt ở
vị trí có thể truy cập dễ dàng. Những vị trí này được gọi là cơ sở dữ liệu.
Ví dụ về một số hệ thống lưu trữ:

◦ X.500 Directory System Agents (DSAs).
◦ Lightweight Directory Access Protocol (LDAP ) Server
◦ Online Certificate Status Protocol (OCSP) Responders
◦ Domain name System (DNS) và Web servers
◦ File Transfer Protocol (FTP) Servers và Corporate Databases
18


2.4. Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau. Nhưng nhìn
chung có hai chức năng chính là: chứng thực và thẩm tra.
2.4.1. Chứng thực (certification)

Chứng thực là chức năng quan trọng nhất của hệ thống PKI. Đây là quá
trình ràng buộc khoá công khai với định danh của thực thể. CA là thực thể PKI
thực hiện chức năng chứng thực.
Có hai phương pháp chứng thực:
 Tổ chức chứng thực (CA) tạo ra cặp khoá công khai, khoá bí mật và tạo ra
chứng chỉ cho phần khoá công của cặp khoá.
 Người sử dụng tự tạo cặp khoá và đưa khoá công cho CA để CA tạo
chứng chỉ cho khoá công đó. Chứng chỉ đảm bảo tính toàn vẹn của khoá
công khai và các thông tin gắn cùng.
2.4.2. Thẩm tra (validation)
Quá trình xác định liệu chứng chỉ đã đưa ra có thể được sử dụng đúng mục
đích thích hợp hay không được xem như là quá trình kiểm tra tính hiệu lực của
chứng chỉ.
Quá trình này bao gồm một số bước sau:
 Kiểm tra xem liệu có đúng là CA được tin tưởng đã ký số lên chứng chỉ
hay không (xử lý theo đường dẫn chứng chỉ).
 Kiểm tra chữ ký số của CA trên chứng chỉ để kiểm tra tính toàn vẹn.
 Xác định xem chứng chỉ còn ở trong thời gian có hiệu lực hay không.
 Xác định xem chứng chỉ đã bị thu hồi hay chưa.
 Xác định xem chứng chỉ đang được sử dụng có đúng mục đích, chính
sách, giới hạn hay không (bằng cách kiểm tra những trường mở rộng cụ
thể như mở rộng chính sách chứng chỉ hay mở rộng việc sử dụng khoá).

19


2.4.3. Một số chức năng khác
Hệ thống PKI thực hiện chức năng chứng thực, thẩm tra cùng với một số
chức năng phụ trợ khác. Dưới đây là một số chức năng và dịch vụ được hầu hết
các hệ thống PKI cung cấp.

Một số những chức năng khác có thể được định nghĩa tuỳ theo yêu cầu cụ
thể của các hệ thống PKI.
 Đăng ký: Là quá trình đến hoặc liên lạc với các tổ chức, trung tâm tin cậy
để đăng ký các thông tin và xin cấp chứng chỉ. RA và CA là những thực
thể trong quá trình đăng ký. Quá trình đăng ký phụ thuộc vào chính sách
của tổ chức. Nếu chứng chỉ được cung cấp với mục đích dùng cho những
hoạt động bí mật thì sử dụng phương pháp gặp mặt trực tiếp. Nếu chứng
chỉ chỉ được sử dụng cho những mục đích, hoạt động thường thì có thể
đăng ký qua những ứng dụng viết sẵn hoặc ứng dụng điện tử.
 Khởi tạo ban đầu: Khi hệ thống trạm của chủ thể nhận được các thông tin
cần thiết để liên lạc với CA thì quá trình khởi tạo bắt đầu. Những thông
tin này có thể là khoá công của CA, chứng chỉ của CA, cặp khóa công /bí
mật của chủ thể. Một số hệ thống khác sử dụng cơ chế dựa trên password
trong giai đoạn khởi tạo. Người dùng cuối liên lạc với CA khi nhận được
password và sau đó thiết lập một kênh bảo mật để truyền những thông tin
cần thiết. Giai đoạn khởi tạo thường tiếp tục với quá trình chứng thực.
 Khôi phục cặp khóa: Hầu hết hệ thống PKI tạo ra hai cặp khoá cho người
sử dụng cuối, một để ký số và một để mã hoá. Lý do để tạo hai cặp khoá
khác nhau xuất phát từ yêu cầu khôi phục và sao lưu dự phòng khoá. Tuỳ
theo chính sách của tổ chức, bộ khoá mã (mã và giải mã) và những thông
tin liên quan đến khoá của người sử dụng phải được sao lưu để có thể lấy
lại được dữ liệu khi người sử dụng mất khoá riêng hay rời khỏi đơn vị.
Còn khoá để ký số được sử dụng tuỳ theo mục đích cá nhân nên không
được sao lưu. Riêng khoá bí mật của CA thì được lưu giữ dự phòng trong
một thời gian dài để giải quyết những vấn đề nhầm lẫn có thể xảy ra trong
tương lai. Hệ thống PKI có những công cụ để thực hiện chức năng sao lưu
và khôi phục khoá.

20



 Tạo khóa: Cặp khoá công khai/bí mật có thể được tạo ở nhiều nơi. Chúng
có thể được tạo ra bằng phần mềm phía client và được gửi đến CA để
chứng thực. CA cũng có thể tạo ra cặp khoá trước khi chứng thực. Trong
trường hợp này, CA tự tạo cặp khoá và gửi khoá bí mật này cho người sử
dụng theo một cách an toàn. Nếu khoá do bên thứ ba tạo ra thì những
khoá này phải được CA tin cậy trong miền xác nhận trước khi sử dụng.
 Hạn sử dụng và cập nhật khóa: Một trong những thuộc tính của chứng chỉ
là thời gian hiệu lực. Thời gian hiệu lực của mỗi cặp khoá được xác định
theo chính sách sử dụng. Các cặp khoá của người sử dụng nên được cập
nhật khi có thông báo về ngày hết hạn. Hệ thống sẽ thông báo về tình
huống này trong một thời gian nhất định. Chứng chỉ mới sẽ được người
cấp công bố tự động sau thời gian hết hạn.
 Xâm hại khóa: Đây là trường hợp không bình thường nhưng nếu xảy ra
thì khoá mới sẽ được công bố và tất cả người sử dụng trong hệ thống sẽ
nhận thấy điều này. Xâm hại đến khoá của CA là một trường hợp đặc biệt.
Và trong trường hợp này thì CA sẽ công bố lại tất cả các chứng chỉ với
CA-certificate mới của mình
 Thu hồi: Chứng chỉ được công bố sẽ được sử dụng trong khoảng thời gian
có hiệu lực Nhưng trong trường hợp khoá bị xâm hại hay có sự thay đổi
trong thông tin của chứng chỉ thì chứng chỉ mới sẽ được công bố, chứng
chỉ cũ sẽ bị thu hồi
 Công bố và gửi thông báo thu hồi chứng chỉ: Một chứng chỉ được cấp cho
người sử dụng cuối sẽ được gửi đến cho người nắm giữ và hệ thống lưu
trữ để có thể truy cập công khai. Khi một chứng chỉ bị thu hồi vì một lý
do nào đó, tất cả người sử dụng trong hệ thống sẽ được thông báo về việc
này. Phương thức để công bố và gửi những thông báo thu hồi đã được đề
cập chi tiết trong nội dung về chứng chỉ số ở phần trên.
 Xác thực chéo: Xác thực chéo là một trong những đặc tính quan trọng
nhất của hệ thống PKI. Chức năng này được sử dụng để nối hai miền PKI

khác nhau. Xác thực chéo là cách để thiết lập môi trường tin cậy giữa hai
CA dưới những điều kiện nhất định. Những điều kiện này được xác định

21


theo yêu cầu của người sử dụng. Những người sử dụng ở các miền khác
nhau chỉ có thể giao tiếp an toàn với người khác sau khi việc xác thực
chéo giữa các CA thành công. Xác thực chéo được thiết lập bằng cách tạo
chứng chỉ CA xác thực lẫn nhau. Nếu CA-1 và CA-2 muốn thiết lập xác
thực chéo thì cần thực hiện một số bước sau:

◦ CA-1 công bố CA – certificate cho CA-2.
◦ CA-2 công bố CA – certificate cho CA-1.
◦ CA-1 và CA-2 sẽ sử dụng những trường mở rộng xác định trong chứng
chỉ để đặt những giới hạn cần thiết trong CA-certificate. Việc xác thực chéo đòi
hỏi phải có sự kiểm tra cẩn thận các chính sách PKI. Nếu cả hai đều có cùng
hoặc tương tự chính sách của nhau thì việc xác thực chéo sẽ có ý nghĩa. Ngược
lại, sẽ có những tình huống không mong muốn xuất hiện trong trường hợp chính
sách PKI của một miền trở thành một phần của miền khác. Trường mở rộng
“Policy mapping”, “name constraints” và “policy constraints” của chứng chỉ
X.509 chuẩn được sử dụng trong xác thực chéo để đưa ra một số giới hạn trong
môi trường tin cậy.
 Thẩm quyền thứ cấp: cho phép CA gốc hạn chế tính năng của các CA thứ
cấp. tính năng này để quyết định dạng CA được phát hành và các dịch vụ
khác mà CA đó có thể tạo ra cho khách hàng. Một khi đã có một cơ chế
phân cấp trong tổ chức, xác định các đối tác kinh doanh chính và bắt đầu
đưa vào cấu trúc bảo mật. Tạo ra các chính sách bảo mật trong nội bộ tổ
chức trong đó định nghĩa các tài sản cần bảo vệ và những cách thức và
công cụ mà nhân viên sẽ sử dụng để thực hiện điều này. Thảo ra các quy

trình hỗ trợ người sử dụng trong các vấn đề liên quan tới phát hành, gia
hạn và phục hồi các chứng thực và mã khoá, sau đó phân công trách
nhiệm phát triển và duy trì tổng thể hệ thống PKI cho những bộ phận có
chức năng. Một giải pháp PKI hoàn chỉnh và phù hợp sẽ đảm bảo khả
năng bảo mật cao nhất cho các tài sản kỹ thuật số trong doanh nghiệp.

22


2.5. Mục tiêu của PKI
PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng thông tin
từ các chứng thực khóa công khai để mật mã hóa và giải mã thông tin trong quá
trình trao đổi thông thường.
PKI bao gồm phần mềm máy chủ (server), phần mềm máy khách (client),
phần cứng (như thẻ thông minh) và các quy trình hoạt động liên quan.Người sử
dụng cũng có thể ký các văn bản điện tử với khóa bí mật mình và mọi người đều
có thể kiểm tra với khóa công khai của người đó.
PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn
vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước.
Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối liên hệ
giữa khóa và định dạng người dùng. Nhờ vậy người dùng có thể sử dụng trong
một số ứng dụng như:
 Mã hóa email hoặc xác thực người gửi email.
 Mã hóa hoặc xác thực văn bản.
 Xác thực người dùng ứng dụng.
 Xác giao thức truyền thông an toàn dùng kỹ thuật Bootstrapping (IKE,
SSL): trao đổi khóa bằng khóa bất đối xứng, mã hóa bằng khóa đối xứng

23