NRCA
- 24 ก.ค. 60
-
16752
-
เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure : PKI)
เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะ (Public Key Infrastructure : PKI) หรือระบบรหัสแบบอสมมาตร (Asymmetric Key Cryptography) เป็นเทคโนโลยีที่ใช้ในการรักษาความมั่นคงปลอดภัยของข้อมูล ซึ่งประกอบด้วยกุญแจ 2 ดอก คือ กุญแจส่วนตัว (Private Key) และ กุญแจสาธารณะ (Public Key) โดยที่บุคคลหรือเอนทิตีหนึ่ง ๆ จะมีกุญแจทั้ง 2 ดอก แต่เนื่องด้วยตัวของเทคโนโลยีเพียงอย่างเดียวนั้นไม่สามารถระบุได้ว่าบุคคลนั้นเป็นเจ้าของกุญแจซึ่งอ้างถึงจริงหรือไม่ ดังนั้น PKI จึงเป็นโครงสร้างที่ก่อให้เกิดความน่าเชื่อถือในการระบุถึงความเป็นเจ้าของกุญแจสาธารณะว่าเป็นของบุคคลนั้นจริง
4 องค์ประกอบ PKI
โครงสร้างพื้นฐานกุญแจสาธารณะจะประกอบด้วย 4 องค์ประกอบใหญ่ๆ ที่สำคัญ ได้แก่
- ผู้ใช้บริการ (End Entity) เป็นผู้ซึ่งประสงค์จะขอใช้บริการใบรับรองอิเล็กทรอนิกส์ โดยยื่นคำขอผ่านทางเจ้าหน้าที่รับลงทะเบียน
- เจ้าหน้าที่รับลงทะเบียน (Registration Authority) เป็นผู้ซึ่งทำหน้าที่รับลงทะเบียน เมื่อมีการยื่นขอใบรับรองอิเล็กทรอนิกส์ แจ้งเพิกถอนใบรับรองอิเล็กทรอนิกส์ หรือต่ออายุใบรับรองอิเล็กทรอนิกส์ โดยการตรวจสอบและยืนยันความถูกต้องของข้อมูลที่ผู้ใช้บริการให้ไว้ตามแบบคำขอที่ผู้ให้บริการกำหนดขึ้น
- ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority) เป็นองค์กรซึ่งทำหน้าที่ในการให้บริการเกี่ยวกับการออกใบรับรองอิเล็กทรอนิกส์ เพื่อรับรองตัวตนที่แท้จริงของบุคคล นิติบุคคล หรือเอนทิตีใด ๆ
- ที่บันทึกข้อมูล (Repository) เป็นระบบคอมพิวเตอร์ที่เปิดให้บุคคลอื่นสามารถสืบค้นใบรับรองอิเล็กทรอนิกส์ของผู้ใช้บริการเพื่อใช้ในการติดต่อสื่อสารอย่างมั่นคงปลอดภัย
รูปที่ 1 องค์ประกอบของ Public Key Infrastructure
ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority : CA)
เนื่องจากเทคโนโลยีระบบรหัสแบบกุญแจสาธารณะเป็นเพียงกลไกในการทำให้เกิดความมั่นคงปลอดภัยในตัวข้อมูล แต่สิ่งที่ต้องคำนึงถึงในการใช้เทคโนโลยีดังกล่าวคือ ความน่าเชื่อถือของกุญแจสาธารณะของเจ้าของกุญแจว่าเป็นของบุคคลซึ่งอ้างถึงจริงหรือไม่ เพื่อให้บุคคลที่ต้องการติดต่อสามารถมั่นใจได้ถึงความเป็นเจ้าของกุญแจสาธารณะที่แท้จริง เนื่องจากในการติดต่อสื่อสารนั้นคู่สื่อสารอาจจะไม่เคยมีความสัมพันธ์หรือรู้จักกันมาก่อน ดังนั้น การสร้างความน่าเชื่อถือของกุญแจสาธารณะจึงจำเป็นที่จะต้องมีหน่วยงานที่มีความน่าเชื่อถือ เพื่อทำหน้าที่ในการรับรองกุญแจสาธารณะว่าเป็นของบุคคลซึ่งอ้างถึงจริง ซึ่งหน่วยงานดังกล่าวก็คือ ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority : CA)
เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะสามารถนำมาประยุกต์ใช้งาน โดยที่คู่ติดต่อสื่อสารไม่จำเป็นที่จะต้องมีความสัมพันธ์หรือรู้จักกันมาก่อนแต่อย่างใด แต่คู่สื่อสารนั้นจำเป็นที่จะต้องมีความสัมพันธ์กับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ ซึ่งเป็นความสัมพันธ์ในเชิงความไว้วางใจในตัวของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เป็นหน่วยงานที่เปรียบเสมือนผู้ที่ได้รับความไว้วางใจ ดังนั้น หน่วยงานดังกล่าวควรเป็นหน่วยงานที่มีระบบที่น่าเชื่อถือและมีความรู้ความเชี่ยวชาญในเทคโนโลยีที่เกี่ยวข้อง
โครงสร้างที่ก่อให้เกิดความไว้วางใจดังกล่าวก็คือ PKI ซึ่งถือได้ว่าเป็นโครงสร้างพื้นฐานหลักที่ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ใช้ในการรับรองกุญแจสาธารณะ เช่น นาย ก ต้องการส่งข้อความซึ่งเป็นความลับให้กับนาย ข ซึ่งนาย ก จำเป็นที่จะต้องใช้กุญแจสาธารณะของนาย ข มาทำการเข้ารหัสลับ เพื่อที่นาย ข เพียงบุคคลเดียวเท่านั้นที่จะสามารถทำการอ่านข้อความดังกล่าวได้ แต่นาย ก จะมั่นใจได้อย่างไรว่ากุญแจสาธารณะที่จะนำมาใช้ในการเข้ารหัสลับนั้นเป็นของนาย ข ซึ่งอ้างถึงจริง เพื่อก่อให้เกิดความน่าเชื่อถือว่า กุญแจสาธารณะดังกล่าวเป็นของนาย ข จริง ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จึงทำหน้าที่รับรองกุญแจสาธารณะของบุคคลทั้งสอง เพื่อที่ไม่ว่าบุคคลใดก็ตามจะสามารถมั่นใจได้ถึงความน่าเชื่อถือของกุญแจสาธารณะที่นำมาใช้ในการติดต่อสื่อสารระหว่างกัน
รูปที่ 2 ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
ใบรับรองอิเล็กทรอนิกส์ (Certificate)
สิ่งที่ได้จากการรับรองกุญแจสาธารณะโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ คือ ใบรับรองอิเล็กทรอนิกส์ (Certificate) ซึ่งเป็นข้อมูลอิเล็กทรอนิกส์ที่ประกอบไปด้วยข้อมูลส่วนบุคคลและกุญแจสาธารณะ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำการรับรองข้อมูลดังกล่าวด้วยการลงลายมือชื่อดิจิทัลกำกับ เปรียบเสมือนเป็นการออกใบรับรองอิเล็กทรอนิกส์เพื่อเป็นการรับรองตัวตนของบุคคลในโลกอิเล็กทรอนิกส์
ในชีวิตประจำวัน เมื่อมีการติดต่อสื่อสารกับบุคคลหรือองค์กรที่ไม่เคยมีความสัมพันธ์มาก่อน การตรวจสอบสถานะมักจะใช้เอกสารในรูปแบบกระดาษที่เชื่อถือได้เพื่อเป็นการยืนยัน เช่น บัตรประจำตัวประชาชนหรือหนังสือเดินทาง เอกสารหรือหนังสือเหล่านี้เป็นตัวอย่างของใบรับรองประเภทต่าง ๆ ที่ใช้รับรองสถานะของบุคคล แต่สำหรับทางโลกอิเล็กทรอนิกส์นั้น สามารถทำการตรวจสอบสถานะของผู้ที่ต้องการติดต่อได้โดยตรวจสอบจากใบรับรองอิเล็กทรอนิกส์ ซึ่งใช้สำหรับยืนยันตัวตนทางโลกอิเล็กทรอนิกส์
ใบรับรองอิเล็กทรอนิกส์เป็นสิ่งหนึ่งที่ใช้ในการยืนยันตัวตนสำหรับการเข้าใช้งานระบบต่างๆ นอกเหนือจากรหัสผ่าน (Password) ซึ่งการใช้รหัสผ่านในการยืนยันตัวตนนั้นเป็นแค่เพียงสิ่งที่ผู้ใช้งานรู้ (Something you know) เท่านั้น หากบุคคลอื่นล่วงรู้ก็จะสามารถเข้าใช้งานระบบได้เช่นกัน ซึ่งต่างจากการใช้ใบรับรองอิเล็กทรอนิกส์ที่ใช้ปัจจัยในการยืนยันตัวบุคคล 2 ปัจจัยร่วมกัน (2-Factor Authentication) นั่นคือ ผู้ใช้จำเป็นต้องรู้รหัสผ่านในการใช้งานใบรับรองอิเล็กทรอนิกส์ (Something you know) รวมทั้งผู้ใช้จะต้องมีกุญแจส่วนตัวที่ใช้คู่กับใบรับรองอิเล็กทรอนิกส์ (Something you have) ด้วย ผู้ใช้จึงจะสามารถเข้าใช้งานระบบได้
ทั้งนี้ จะเห็นว่าการยืนยันตัวตนโดยใช้ใบรับรองอิเล็กทรอนิกส์นั้นประกอบด้วยสองสิ่ง คือ ใบรับรองอิเล็กทรอนิกส์และรหัสผ่าน ซึ่งเป็นสิ่งที่ผู้ใช้มีและรู้ ดังนั้น ถ้าบุคคลอื่นล่วงรู้รหัสผ่าน แต่ไม่มีใบรับรองอิเล็กทรอนิกส์ก็ไม่สามารถเข้าใช้งานระบบได้ ซึ่งเป็นการเพิ่มระดับความมั่นคงปลอดภัยอีกระดับ จากเดิมที่มีแต่การใช้รหัสผ่านเท่านั้น ใบรับรองอิเล็กทรอนิกส์ที่ออกอ้างอิงตามมาตรฐาน X.509 Certificate ซึ่งเป็นมาตรฐานของใบรับรองอิเล็กทรอนิกส์ที่กำหนดโดย ITU-T X.509 International Standard โดยใบรับรองอิเล็กทรอนิกส์ประกอบไปด้วยข้อมูลหลัก 3 ส่วน คือ
- กุญแจสาธารณะ (Public Key) ของเจ้าของใบรับรองอิเล็กทรอนิกส์
- ลายมือชื่อดิจิทัลของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
- ลายมือชื่อดิจิทัลดังกล่าวจะรับรองข้อมูลในส่วนที่ 1. และ 2. ว่าเป็นของผู้ถือใบรับรองอิเล็กทรอนิกส์และกุญแจส่วนตัวจริง
รูปที่ 3 ส่วนประกอบที่สำคัญของใบรับรองอิเล็กทรอนิกส์
ขั้นตอนการขอใบรับรองอิเล็กทรอนิกส์
การออกใบรับรองอิเล็กทรอนิกส์จะมีขั้นตอนที่แตกต่างกันไปขึ้นอยู่กับนโยบายของแต่ละผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ แต่โดยหลักการทั่วไปจะมีขั้นตอนดังแสดงในรูปที่ 4 ซึ่งประกอบไปด้วยขั้นตอนต่าง ๆ ดังต่อไปนี้
รูปที่ 4 แสดงขั้นตอนการขอใช้ใบรับรองอิเล็กทรอนิกส์
- ผู้ขอใช้บริการแจ้งความจำนงในการขอใช้ใบรับรองอิเล็กทรอนิกส์ไปยังเจ้าหน้าที่รับลงทะเบียน
- เจ้าหน้าที่รับลงทะเบียนตรวจสอบและยืนยันความถูกต้องของข้อมูลที่ผู้ขอใช้บริการได้ให้ไว้ตามแบบคำขอใบรับรองอิเล็กทรอนิกส์
- เจ้าหน้าที่รับลงทะเบียนส่งคำขอใช้ใบรับรองอิเล็กทรอนิกส์ของผู้ขอใช้บริการไปยังผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
- ผู้ขอใช้บริการทำการสร้างคู่กุญแจส่วนตัวและกุญแจสาธารณะ โดยกุญแจสาธารณะที่สร้างขึ้นนั้นจะถูกส่งไปยังผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
- ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ทำการรับรองข้อมูลและกุญแจสาธารณะของผู้ขอใช้บริการ และส่งผลที่ได้จากการรับรองกลับไปยังผู้ขอใช้บริการในรูปแบบของใบรับรองอิเล็กทรอนิกส์
- ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์นำใบรับรองอิเล็กทรอนิกส์ที่ออกใหม่เผยแพร่ในที่บันทึกข้อมูล เพื่อให้บุคคลอื่นสามารถสืบค้นใบรับรองอิเล็กทรอนิกส์ของผู้ขอใช้บริการได้
วงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ (Certificate and Key Life Cycle)
การเข้ารหัสลับข้อมูลและลงลายมือชื่อดิจิทัล จำเป็นที่จะต้องใช้ใบรับรองอิเล็กทรอนิกส์และกุญแจ โดยที่อายุในการใช้งานของใบรับรองอิเล็กทรอนิกส์และกุญแจนั้น แสดงดังรูปที่ 5
รูปที่ 5 วงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ
วงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ ประกอบด้วยขั้นตอนต่าง ๆ ดังนี้
- การสร้างกุญแจคู่โดยผู้ขอใช้บริการ ซึ่งประกอบไปด้วยกุญแจส่วนตัวและกุญแจสาธารณะ
- การออกใบรับรองอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำการรับรองกุญแจสาธารณะและข้อมูลของเจ้าของกุญแจสาธารณะ
- การใช้งานใบรับรองอิเล็กทรอนิกส์และกุญแจส่วนตัว ในกรณีที่มีผู้อื่นล่วงรู้กุญแจส่วนตัว ผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์จะต้องทำการขอเพิกถอนใบรับรองอิเล็กทรอนิกส์ โดยใบรับรองอิเล็กทรอนิกส์ที่ถูกเพิกถอนนั้นจะปรากฏอยู่ในรายการเพิกถอนใบรับรอง (Certificate Revocation List : CRL) หลังจากนั้นผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์จะต้องทำการขอใบรับรองอิเล็กทรอนิกส์ใหม่
- เมื่อใบรับรองอิเล็กทรอนิกส์หมดอายุ ผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์ดังกล่าวจะต้องทำการขอใบรับรองอิเล็กทรอนิกส์ใหม่
PKI เทคโนโลยีที่ใช้ในการรักษาความมั่นคงปลอดภัยของข้อมูล โดยใช้ กุญแจส่วนตัว (Private Key) และ กุญแจสาธารณะ (Public Key)