Nhà cung cấp chứng thực số (CA)
Trong mật mã học, nhà cung cấp chứng thực số (tiếng Anh: certificate authority, viết tắt: CA) là thực thể phát hành các chứng thực khóa công khai cho người dùng. Nhà cung cấp chứng thực số đóng vai trò là bên thứ ba (được cả hai bên tin tưởng) để hỗ trợ ...
Trong mật mã học, nhà cung cấp chứng thực số (tiếng Anh: certificate authority, viết tắt: CA) là thực thể phát hành các chứng thực khóa công khai cho người dùng. Nhà cung cấp chứng thực số đóng vai trò là bên thứ ba (được cả hai bên tin tưởng) để hỗ trợ cho quá trình trao đổi thông tin an toàn. Các nhà cung cấp chứng thực số là thành phần trung tâm trong nhiều mô hình hạ tầng khóa công khai (PKI).
Hiện nay có nhiều CA thương mại mà người dùng phải trả phí khi sử dụng dịch vụ. Các tổ chức và chính phủ cũng có thể có những CA của riêng họ. Bên cạnh đó cũng có những CA cung cấp dịch vụ miễn phí.
CA phát hành các chứng thực khóa công khai trong đó thể hiện rằng CA đó chứng nhận khóa công khai nằm trong mỗi chứng thực thuộc về cá nhân, tổ chức, máy chủ hay bất kỳ thực thể nào ghi trong cùng chứng thực đó. Nhiệm vụ của CA là kiểm tra tính chính xác của thông tin liên quan tới thực thể được cấp chứng thực. Khi người sử dụng tin tưởng vào một CA và có thể kiểm tra chữ ký số của CA đó thì họ cũng có thể tin tưởng vào khóa công khai và thực thể được ghi trong chứng thực.
Khi CA có thể bị xâm nhập thì an toàn của hệ thống sẽ bị phá vỡ. Nếu kẻ tấn công (Mallory) có thể can thiệp để tạo ra một chứng thực giả trong đó gắn khóa công cộng của kẻ tấn công với định danh của người dùng khác (Alice) thì mọi giao dịch của người khác với Alice có thể bị Mallory can thiệp.
Việc đảm bảo độ chính xác của thông tin trong chứng thực là rất quan trọng nhưng lại khó thực hiện, đặc biệt khi phần lớn các giao dịch sẽ được thông qua đường điện tử. Vì thế các CA thương mại thường dùng phối hợp nhiều biện pháp để kiểm tra thông tin: dùng các thông tin hành chính (chính phủ), hệ thống thanh toán, các cơ sở dữ liệu của bên thứ 3 và các phương pháp riêng biệt khác. Trong một số hệ thống của doanh nghiệp, thì việc cấp chứng thực có thể thực hiện thông qua một giao thức nhận thực nội bộ (chẳng hạn như Giao thức Kerberos). Sau đó, chứng thực này được dùng để giao dịch với hệ thống bên ngoài. Một số hệ thống khác lại đòi hỏi có sự tham gia của công chứng viên khi cấp chứng thực.
Khi được ứng dụng trên quy mô lớn, hệ thống sẽ bao gồm nhiều nhà cung cấp chứng thực số. Giả sử Alice và Bob cần trao đổi thông tin nhưng chứng thực của hai người lại do 2 nhà cung cấp khác nhau tạo ra. Khi đó chứng thực của Bob gửi tới Alice phải bao gồm cả khóa công cộng của nhà cung cấp của Bob và được ký bởi một nhà cung cấp khác CA2 để Alice có thể kiểm tra. Quá trình này sẽ dẫn đến một hệ thống các nhà cung cấp tổ chức theo thang bậc hoặc mạng lưới.
Dưới đây là danh sách một số CA được nhiều người biết đến. Khi sử dụng bất kỳ CA nào thì người sử dụng cũng phải tin vào CA đó. Trong trường hợp một trình duyệt web truy cập vào trang web có chứng thực thì lý tưởng nhất là trình duyệt đó đã nhận biết CA cấp chứng thực. Trong trường hợp ngược lại thì người dùng sẽ đưa ra quyết định có tin vào CA đó hay không. Một số CA tự nhận rằng đã được 99% trình duyệt tin tưởng.
- VeriSign
- Thawte
- GeoTrust
- GoDaddy
CA không thu phí
- Startcom
- CACert