ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ

NATIONAL ROOT CERTIFICATION AUTHORITY OF THAILAND



Published On  17.07.2017 (7 ปีที่ผ่านมา) | Modified Date 23.08.2017

เทคโนโลยีโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure : PKI)


เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะ (Public Key Cryptography) หรือระบบรหัสแบบอสมมาตร (Asymmetric Key Cryptography) เป็นเทคโนโลยีที่ใช้ในการรักษาความปลอดภัยของข้อมูลในปัจจุบัน ซึ่งเทคโนโลยีดังกล่าวประกอบด้วยกุญแจ 2 ดอก คือ กุญแจส่วนตัว (Private Key) และกุญแจสาธารณะ (Public Key) โดยที่บุคคลหรือเอ็นทิตี้หนึ่งๆ จะมีกุญแจทั้ง 2 ดอกดังกล่าว แต่เนื่องด้วยตัวของเทคโนโลยีเพียงอย่างเดียวนั้นไม่สามารถระบุได้ว่าบุคคลนั้นเป็นเจ้าของกุญแจซึ่งอ้างถึงจริงหรือไม่ ดังนั้นโครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure : PKI) จึงเป็นโครงสร้างที่ก่อให้เกิดความน่าเชื่อถือในการระบุถึงความเป็นเจ้าของกุญแจสาธารณะว่าเป็นของบุคคลนั้นจริง

โครงสร้างพื้นฐานกุญแจสาธารณะจะประกอบด้วย 4 องค์ประกอบใหญ่ๆ ที่สำคัญ ได้แก่

  1. ผู้ใช้บริการ (End Entity) เป็นผู้ซึ่งประสงค์จะขอใช้บริการใบรับรองอิเล็กทรอนิกส์ โดยยื่นคำขอผ่านทางเจ้าหน้าที่รับลงทะเบียน
  2. เจ้าหน้าที่รับลงทะเบียน (Registration Authority) เป็นผู้ซึ่งทำหน้าที่รับลงทะเบียน เมื่อมีการยื่นขอใบรับรองอิเล็กทรอนิกส์ แจ้งเพิกถอนใบรับรองอิเล็กทรอนิกส์ หรือต่ออายุใบรับรองอิเล็กทรอนิกส์ โดยการตรวจสอบและยืนยันความถูกต้องของข้อมูลที่ผู้ใช้บริการให้ไว้ตามแบบคำขอที่ผู้ให้บริการกำหนดขึ้น
  3. ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority) เป็นองค์กรซึ่งทำหน้าที่ในการให้บริการเกี่ยวกับการออกใบรับรองอิเล็กทรอนิกส์ เพื่อรับรองตัวตนที่แท้จริงของบุคคล นิติบุคคล หรือเอ็นทิตี้ใดๆ
  4. ที่บันทึกข้อมูล (Repository) เป็นระบบคอมพิวเตอร์ที่เปิดให้บุคคลอื่นสามารถสืบค้นใบรับรองอิเล็กทรอนิกส์ของผู้ใช้บริการเพื่อใช้ในการติดต่อสื่อสารอย่างปลอดภัย

รูปที่ 6 องค์ประกอบของ Public Key Infrastructure

ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority : CA)

เนื่องจากเทคโนโลยีระบบรหัสแบบกุญแจสาธารณะเป็นเพียงกลไกในการทำให้เกิดความปลอดภัยในตัวข้อมูล แต่สิ่งที่ต้องคำนึงถึงในการใช้เทคโนโลยีดังกล่าวคือ ความน่าเชื่อถือของกุญแจสาธารณะของเจ้าของกุญแจว่าเป็นของบุคคลซึ่งอ้างถึงจริงหรือไม่ เพื่อให้บุคคลที่ต้องการติดต่อสามารถมั่นใจได้ถึงความเป็นเจ้าของกุญแจสาธารณะที่แท้จริง เนื่องจากในการติดต่อสื่อสารนั้นคู่สื่อสารอาจจะไม่เคยมีความสัมพันธ์หรือรู้จักกันมาก่อน ดังนั้น การสร้างความน่าเชื่อถือของกุญแจสาธารณะจึงจำเป็นที่จะต้องมีหน่วยงานที่มีความน่าเชื่อถือ เพื่อทำหน้าที่ในการรับรองกุญแจสาธารณะว่าเป็นของบุคคลซึ่งอ้างถึงจริง ซึ่งหน่วยงานดังกล่าวก็คือ ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority : CA)

เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะสามารถนำมาประยุกต์ใช้งาน โดยที่คู่ติดต่อสื่อสารไม่จำเป็นที่จะต้องมีความสัมพันธ์หรือรู้จักกันมาก่อนแต่อย่างใด แต่คู่สื่อสารนั้นจำเป็นที่จะต้องมีความสัมพันธ์กับผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ ซึ่งเป็นความสัมพันธ์ในเชิงความไว้วางใจในตัวของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์เป็นหน่วยงานที่เปรียบเสมือนผู้ที่ได้รับความไว้วางใจ ดังนั้นแล้ว หน่วยงานดังกล่าวควรเป็นหน่วยงานที่มีระบบที่น่าเชื่อถือและมีความรู้ความเชี่ยวชาญในเทคโนโลยีที่เกี่ยวข้อง

โครงสร้างที่ก่อให้เกิดความไว้วางใจดังกล่าวก็คือ โครงสร้างพื้นฐานกุญแจสาธารณะ (Public Key Infrastructure : PKI) ซึ่งถือได้ว่าเป็นโครงสร้างพื้นฐานหลักที่ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ใช้ในการรับรองกุญแจสาธารณะ ตัวอย่างเช่น นาย ก ต้องการส่งข้อความซึ่งเป็นความลับให้กับนาย ข ซึ่งนาย ก จำเป็นที่จะต้องใช้กุญแจสาธารณะของนาย ข มาทำการเข้ารหัสลับ เพื่อที่นาย ข เพียงบุคคลเดียวเท่านั้นที่จะสามารถทำการอ่านข้อความดังกล่าวได้ แต่นาย ก จะมั่นใจได้อย่างไรว่ากุญแจสาธารณะที่จะนำมาใช้ในการเข้ารหัสลับนั้นเป็นของนาย ข ซึ่งอ้างถึงจริง เพื่อก่อให้เกิดความน่าเชื่อถือว่า กุญแจสาธารณะดังกล่าวเป็นของนาย ข จริง ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จึงทำหน้าที่รับรองกุญแจสาธารณะของบุคคลทั้งสอง เพื่อที่ไม่ว่าบุคคลใดก็ตามจะสามารถมั่นใจได้ถึงความน่าเชื่อถือของกุญแจสาธารณะที่นำมาใช้ในการติดต่อสื่อสารระหว่างกัน

รูปที่ 7 ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์

ใบรับรองอิเล็กทรอนิกส์ (Certificate)

สิ่งที่ได้จากการรับรองกุญแจสาธารณะโดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ คือ ใบรับรองอิเล็กทรอนิกส์ (Certificate) ซึ่งเป็นข้อมูลอิเล็กทรอนิกส์ที่ประกอบไปด้วยข้อมูลส่วนบุคคลและกุญแจสาธารณะ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำการรับรองข้อมูลดังกล่าวด้วยการลงลายมือชื่อดิจิทัลกำกับ เปรียบเสมือนเป็นการออกใบรับรองอิเล็กทรอนิกส์เพื่อเป็นการรับรองตัวตนของบุคคลในโลกอิเล็กทรอนิกส์

ซึ่งในชีวิตประจำวันเมื่อมีการติดต่อสื่อสารกับบุคคลหรือองค์กรที่ไม่เคยมีความสัมพันธ์มาก่อน การตรวจสอบสถานะมักจะใช้เอกสาร (ในรูปแบบกระดาษ) ที่เชื่อถือได้เพื่อเป็นการยืนยัน เช่น บัตรประจำตัวประชาชนหรือหนังสือเดินทาง เป็นต้น เอกสารหรือหนังสือเหล่านี้เป็นตัวอย่างของใบรับรองประเภทต่างๆ ที่ใช้รับรองสถานะของบุคคล แต่สำหรับทางโลกอิเล็กทรอนิกส์นั้น สามารถทำการตรวจสอบสถานะของผู้ที่ต้องการติดต่อได้โดยตรวจสอบจากใบรับรองอิเล็กทรอนิกส์ ซึ่งใช้สำหรับยืนยันตัวตนทางโลกอิเล็กทรอนิกส์

ใบรับรองอิเล็กทรอนิกส์เป็นสิ่งหนึ่งที่ใช้ในการยืนยันตัวตนสำหรับการเข้าใช้งานระบบต่างๆ นอกเหนือจากรหัสผ่าน (Password) ซึ่งการใช้รหัสผ่านในการยืนยันตัวตนนั้นเป็นแค่เพียงสิ่งที่ผู้ใช้งานรู้ (Something you know) เท่านั้น หากบุคคลอื่นล่วงรู้ก็จะสามารถเข้าใช้งานระบบได้เช่นกัน ซึ่งต่างจากการใช้ใบรับรองอิเล็กทรอนิกส์ที่ใช้ปัจจัยในการยืนยันตัวบุคคล 2 ปัจจัยร่วมกัน (2-Factor Authentication) นั่นคือ ผู้ใช้จำเป็นต้องรู้รหัสผ่านในการใช้งานใบรับรองอิเล็กทรอนิกส์ (Something you know) รวมทั้งผู้ใช้จะต้องมีกุญแจส่วนตัวที่ใช้คู่กับใบรับรองอิเล็กทรอนิกส์ (Something you have) ด้วย ผู้ใช้จึงจะสามารถเข้าใช้งานระบบได้

จะเห็นว่าการยืนยันตัวตนโดยใช้ใบรับรองอิเล็กทรอนิกส์นั้นประกอบด้วยสองสิ่ง คือ ใบรับรองอิเล็กทรอนิกส์และรหัสผ่าน ซึ่งเป็นสิ่งที่ผู้ใช้มีและรู้ ดังนั้น ถ้าบุคคลอื่นล่วงรู้รหัสผ่าน แต่ไม่มีใบรับรองอิเล็กทรอนิกส์ก็ไม่สามารถเข้าใช้งานระบบได้ ซึ่งเป็นการเพิ่มระดับความปลอดภัยอีกระดับจากเดิมที่มีแต่การใช้รหัสผ่านเท่านั้นใบรับรองอิเล็กทรอนิกส์ที่ออกอ้างอิงตามมาตรฐาน X.509 Certificate ซึ่งเป็นมาตรฐานของใบรับรองอิเล็กทรอนิกส์ที่กำหนดโดย ITU-T X.509 International Standard โดยใบรับรองอิเล็กทรอนิกส์ประกอบไปด้วยข้อมูลหลัก 3 ส่วน คือ

  1. ข้อมูลของเจ้าของใบรับรองอิเล็กทรอนิกส์
  2. กุญแจสาธารณะ (Public Key) ของเจ้าของใบรับรองอิเล็กทรอนิกส์
  3. ลายมือชื่อดิจิทัลของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ โดยลายมือชื่อดิจิทัลดังกล่าวจะรับรองข้อมูลในส่วนที่ 1. และ 2. ว่าเป็นของผู้ถือใบรับรองอิเล็กทรอนิกส์และกุญแจส่วนตัวจริง

รูปที่ 8 ส่วนประกอบที่สำคัญของใบรับรองอิเล็กทรอนิกส์

ขั้นตอนการขอใบรับรองอิเล็กทรอนิกส์

การออกใบรับรองอิเล็กทรอนิกส์จะมีขั้นตอนที่แตกต่างกันไปขึ้นอยู่กับนโยบายของแต่ละผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ แต่โดยหลักการทั่วไปจะมีขั้นตอนดังแสดงในรูปที่ 9 ซึ่งประกอบไปด้วยขั้นตอนต่างๆ ดังต่อไปนี้

รูปที่ 9 แสดงขั้นตอนการขอใช้ใบรับรองอิเล็กทรอนิกส์

  1. ผู้ขอใช้บริการแจ้งความจำนงในการขอใช้ใบรับรองอิเล็กทรอนิกส์ไปยังเจ้าหน้าที่รับลงทะเบียน
  2. เจ้าหน้าที่รับลงทะเบียนตรวจสอบและยืนยันความถูกต้องของข้อมูลที่ผู้ขอใช้บริการได้ให้ไว้ตามแบบคำขอใบรับรองอิเล็กทรอนิกส์
  3. เจ้าหน้าที่รับลงทะเบียนส่งคำขอใช้ใบรับรองอิเล็กทรอนิกส์ของผู้ขอใช้บริการไปยังผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
  4. ผู้ขอใช้บริการทำการสร้างคู่กุญแจส่วนตัวและกุญแจสาธารณะ โดยกุญแจสาธารณะที่สร้างขึ้นนั้นจะถูกส่งไปยังผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์
  5. ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ทำการรับรองข้อมูลและกุญแจสาธารณะของผู้ขอใช้บริการ และส่งผลที่ได้จากการรับรองกลับไปยังผู้ขอใช้บริการในรูปแบบของใบรับรองอิเล็กทรอนิกส์
  6. ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์นำใบรับรองอิเล็กทรอนิกส์ที่ออกใหม่เผยแพร่ในที่บันทึกข้อมูล เพื่อให้บุคคลอื่นสามารถสืบค้นใบรับรองอิเล็กทรอนิกส์ของผู้ขอใช้บริการได้

วงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ (Certificate and Key Life Cycle)

การเข้ารหัสลับข้อมูลและลงลายมือชื่อดิจิทัล จำเป็นที่จะต้องใช้ใบรับรองอิเล็กทรอนิกส์และกุญแจ โดยที่อายุในการใช้งานของใบรับรองอิเล็กทรอนิกส์และกุญแจนั้น แสดงดังรูปที่ 10

รูปที่ 10 แสดงวงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ

วงจรชีวิตของใบรับรองอิเล็กทรอนิกส์และกุญแจ ประกอบด้วยขั้นตอนต่างๆ ดังนี้

  1. การสร้างกุญแจคู่โดยผู้ขอใช้บริการ ซึ่งประกอบไปด้วยกุญแจส่วนตัวและกุญแจสาธารณะ
  2. การออกใบรับรองอิเล็กทรอนิกส์ โดยผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์จะทำการรับรองกุญแจสาธารณะและข้อมูลของเจ้าของกุญแจสาธารณะ
  3. การใช้งานใบรับรองอิเล็กทรอนิกส์และกุญแจส่วนตัว ในกรณีที่มีผู้อื่นล่วงรู้กุญแจส่วนตัว ผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์จะต้องทำการขอเพิกถอนใบรับรองอิเล็กทรอนิกส์ โดยใบรับรองอิเล็กทรอนิกส์ที่ถูกเพิกถอนนั้นจะปรากฏอยู่ในรายการเพิกถอนใบรับรอง (Certificate Revocation List : CRL) หลังจากนั้นผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์จะต้องทำการขอใบรับรองอิเล็กทรอนิกส์ใหม่
  4. เมื่อใบรับรองอิเล็กทรอนิกส์หมดอายุ ผู้ที่เป็นเจ้าของใบรับรองอิเล็กทรอนิกส์ดังกล่าวจะต้องทำการขอใบรับรองอิเล็กทรอนิกส์ใหม่