Trong một hệ thống bảo mật hiện đại – đặc biệt là khi triển khai VPN, PKI hoặc xác thực lẫn nhau trong môi trường Zero Trust – chúng ta không thể không nhắc đến khái niệm quan trọng: cặp khóa (key pair) và chữ ký số (digital signature).
Hãy hình dung hai nhân vật quen thuộc: Thor và Ironman. Mỗi người sở hữu một cặp khóa công khai (public key) và khóa riêng (private key). Điều thú vị là họ không chia sẻ khóa riêng với bất kỳ ai, kể cả đồng đội thân thiết trong biệt đội Avenger.
Mỗi bên muốn xác thực bên còn lại một cách an toàn. Vì vậy:
Thor và Ironman đều đăng ký khóa công khai của mình với một Tổ chức cấp chứng chỉ số – CA server (Certificate Authority).
CA sau đó phát hành một chứng chỉ số (digital certificate), gắn kèm thông tin định danh như tên và IP của người dùng cùng với khóa công khai đó.
Mỗi chứng chỉ đều được CA ký số bằng chính khóa riêng của nó – đây là điều cực kỳ quan trọng.
Khi Thor muốn xác thực với Ironman (chẳng hạn trong một VPN sử dụng RSA để xác thực), Thor sẽ gửi chứng chỉ số của mình. Ironman nhận được chứng chỉ và thực hiện hai bước:
Xác minh chữ ký của CA – dùng khóa công khai của CA (mà Ironman đã tin tưởng).
Nếu hợp lệ, Ironman sẽ trích xuất khóa công khai của Thor từ chứng chỉ.
Giờ đây, Ironman có thể tin chắc rằng khóa công khai đó thật sự thuộc về Thor.
Quá trình tạo chữ ký số gồm các bước:
Thor lấy một đoạn dữ liệu (có thể là một thông điệp hoặc một nonce do Ironman gửi).
Thor tính hàm băm (hash) của dữ liệu.
Thor mã hóa hàm băm bằng khóa riêng của mình.
Thor gửi đoạn mã hóa (chính là chữ ký số) đến Ironman.
Ironman sau đó:
Dùng khóa công khai của Thor để giải mã chữ ký, thu được hàm băm ban đầu.
Đồng thời, Ironman cũng tự băm lại dữ liệu gốc.
Nếu hai hàm băm trùng nhau → xác thực thành công: chỉ Thor mới có khóa riêng để tạo ra chữ ký đó.
Tính xác thực (authentication): Người ký là chính chủ.
Tính toàn vẹn (integrity): Dữ liệu không bị thay đổi.
Tính không thể chối bỏ (non-repudiation): Người gửi không thể chối bỏ trách nhiệm.
Cơ chế xác thực bằng chữ ký số và cặp khóa được sử dụng trong:
IPSec VPN (chế độ RSA-SIG)
TLS/SSL handshake
Chứng thực người dùng và thiết bị đầu cuối
Môi trường IoT với mutual authentication (xác thực hai chiều)
Luôn kiểm tra chuỗi chứng chỉ (certificate chain) và đảm bảo CA tin cậy nằm trong root store của hệ thống.
Trong hạ tầng VPN đa người dùng, nên dùng chính sách xác thực certificate-based thay vì chỉ dùng password.
Đảm bảo private key không bao giờ bị lộ, kể cả dưới dạng export hay backup plaintext.
Nếu bạn đang triển khai VPN cho tổ chức, hoặc cần tăng cường bảo mật xác thực – đừng xem nhẹ hệ thống PKI. Đây không chỉ là lý thuyết, mà là nền tảng để mạng doanh nghiệp hiện đại có thể tin tưởng và vận hành an toàn.
