Nhập môn PKI – Từ thuật ngữ cơ bản đến chuẩn PKCS


Trong thế giới bảo mật hệ thống và cloud, PKI (Public Key Infrastructure) là nền tảng cực kỳ quan trọng để triển khai mã hóa, xác thực và chống chối bỏ (non-repudiation). PKI chính là “xương sống” cho các dịch vụ như VPN, SSL/TLS, Wi-Fi 802.1X, IAM trên cloud, hay bất kỳ môi trường nào cần chứng thực quy mô lớn.

Vậy PKI gồm những gì? Chúng ta cùng điểm qua các khái niệm cốt lõi.

---

1. Các thành phần quan trọng trong PKI

• Digital Certificate (Chứng chỉ số): Giống như “CMND/CCCD số”, được CA ký để gắn kết khóa công khai với danh tính (user, server, website).
• Public Key (Khóa công khai): Ai cũng xem được, dùng để mã hóa dữ liệu hoặc xác minh chữ ký số.
• Private Key (Khóa bí mật): Giữ kín tuyệt đối, dùng để giải mã hoặc ký số. Đây là phần “xương sống” cần bảo vệ.
• Certificate Authority (CA): Tổ chức tin cậy, chuyên cấp, quản lý, thu hồi chứng chỉ (ví dụ: VeriSign, Entrust, GoDaddy). Doanh nghiệp cũng có thể dựng Private PKI bằng Microsoft CA hoặc OpenSSL.
• Registration Authority (RA): Làm nhiệm vụ xác minh danh tính trước khi CA phát hành chứng chỉ.
• Certificate Revocation List (CRL): Danh sách chứng chỉ bị thu hồi – hệ thống phải check để tránh xác thực nhầm.
• Certificate Signing Request (CSR): File chứa khóa công khai + thông tin danh tính, gửi lên CA để xin chứng chỉ.
• Trust Model: Cách xây dựng niềm tin trong PKI. Phổ biến nhất là mô hình phân cấp (hierarchical) với Root CA và Subordinate CA.
• Key Pair Generation: Sinh cặp khóa Public/Private bằng thuật toán RSA hoặc ECC.
• Key Usage: Xác định mục đích của khóa (chỉ mã hóa, chỉ ký số, hoặc cả hai).

---

2. Public-Key Cryptography Standards (PKCS)


Để nhiều hệ thống và vendor khác nhau có thể tương tác chuẩn hóa, RSA Security đã công bố bộ chuẩn PKCS (Public-Key Cryptography Standards). Một số chuẩn quan trọng:

• PKCS #1 – RSA: Chuẩn RSA cho mã hóa và chữ ký số.
• PKCS #3 – Diffie-Hellman (DH): Thỏa thuận khóa dựa trên DH.
• PKCS #5 – Password-Based Cryptography: Sinh khóa từ mật khẩu (Password → Key).
• PKCS #6 – Extended Certificate: Mở rộng định dạng chứng chỉ số.
• PKCS #7 – Cryptographic Message Syntax: Định nghĩa định dạng cho dữ liệu mã hóa, ký số, chứng chỉ.
• PKCS #8 – Private-Key Syntax: Cách lưu trữ và vận chuyển khóa bí mật an toàn.
• PKCS #10 – Certification Request (CSR): Định dạng chuẩn của CSR.
• PKCS #12 – Personal Information Exchange: File .pfx/.p12 chứa Private Key + Certificate, thường dùng để import/export trên Windows/Linux.
• PKCS #13 – Elliptic Curve Cryptography (ECC): Chuẩn cho mật mã đường cong Elliptic.
• PKCS #15 – Cryptographic Token Format: Chuẩn cho Smart Card, HSM.

---

3. Tại sao PKI quan trọng với System và Cloud?

• Azure, AWS, GCP đều dựa trên PKI để triển khai IAM, TLS, API Gateway, VPN, Zero Trust.
• Trong doanh nghiệp, PKI đảm bảo người dùng + thiết bị truy cập tài nguyên một cách an toàn, có chứng thực.
• Trong môi trường Hybrid/Multicloud, PKI là “chìa khóa” để thiết lập tin cậy xuyên biên giới giữa các dịch vụ và hạ tầng khác nhau.

---

Kết


Hiểu PKI là bước nền để đi xa hơn vào các chủ đề như VPN, 802.1X, TLS/SSL, Zero Trust. Anh em làm System, Cloud, MCSA, Azure, AWS chắc chắn sẽ gặp PKI trong thực tế, từ triển khai CA nội bộ cho domain controller, đến quản lý chứng chỉ TLS trên web/app.

PKI không chỉ là lý thuyết mà là công nghệ sống còn của mọi hệ thống hiện đại.
​