Cách bảo mật khi truyền dữ liệu trên mạng

+ Đánh cắp thông tin:Lắng nghe thông tin trên đường truyền, biết được thông tin về người gửi và nhận nhờ vào thông tin được chứa trong gói tin truyền trên hệ thống mạng. Hình thức này, kẻ xâm nhập có thể kiểm tra được tần số trao đổi, số lượng gói tin truyền đi và độ dài của gói tin này. Tuy nhiên, với hành động trên, thông thường với mục đích xem thông tin, sao chép, đánh cắp nội dung thông tin (ví dụ như mật khẩu, thông tin về ngân hàng…) chứ không làm ảnh hưởng nguy hại về mật vật lý đối với dữ liệu hay làm sai lệch nội dung dữ liệu.

+ Phá hoại thông tin:Thay đổi nội dung dữ liệu, chèn thêm thông tin dữ liệu, phá hủy làm hỏng các gói tin, làm trễ thời gian truyền tin, sao chép lặp đi lặp lại dữ liệu… với mục đích phá hỏng hay làm sai lệch nội dung thông tin.

Để bảo vệ thông tin dữ liệu trên đường truyền, ở bài báo này tôi trình bày hướng đến hai thình thức bảo mật:

- Bảo mật hướng theo đường truyền(Link Oriented Security): Thông tin được mã hóa để bảo vệ dựa trên đường truyền giữa hai nút và không quan tâm đến nguồn và đích của thông tin đó. Các cặp thiết bị mật mã được đặt ở hai đầu của đường truyền. Do đó tất cả luồng thông tin trên tất cả các đường truyền sẽ được an toàn.

- Bảo mật dựa trên hai điểm đầu và cuối (End to End Secrity): Mã hóa đường truyền từ máy tính nguồn đến máy tính đích. Thông tin được mã hóa ngay khi mới được tạo ra tại máy nguồn và chỉ được giải mã khi tới máy đích. Phương pháp này làm cho dữ liệu người dùng an toàn nhưng không chống được tấn công phân tích tình huống, vì trong các gói tin chỉ phần dữ liệu người sử dụng được mã hóa còn các dữ liệu đầu gói (dữ liệu điều khiển) thì không.

Như vậy, đối với hệ thống bảo mật dữ liệu nhất là những gói tin có chứa thông tin quan trọng ví dụ như thông tin tài khoản hay mật khẩu… thì việc an toàn thông tin truyền đi trên hệ thống mạng là vô cùng quan trọng. Ngày nay việc kết hợp giữa hai hình thức bảo mật nhằm nâng cao tính năng của hệ thống là cần thiết. Khi đó máy tính đầu cuối lập mã phần dữ liệu người sử dụng của gói dùng khóa lập mã đầu cuối. Cả gói tin được lập mã dùng khóa lập mã đường truyền.

Khi đó, về mô hình hóa ta hướng đến phương thức truyền tin bảo mật End to End và Link Oriented. Dữ liệu khi bắt đầu phát sinh một bản rõ (R – dữ liệu chưa được mã hóa). Để truyền thông tin an toàn bản rõ cần được mã hóa trước khi truyền. Để mã dữ liệu R cần có một khóa – K. Nếu khóa K được sinh tại nơi gửi thì nó phải được gửi thông qua một kênh an toàn tới nơi nhận hoặc có thể một bên thứ ba sinh khóa – K và chuyển một cách an toàn tới cả hai nơi (nơi gửi và nơi nhận). Với thông báo R và khóa mã K, thuật toán mã E sẽ tạo ra bản mã M = EK(R). Khi dữ liệu đã được mã hóa, trước khi truyền đi, chúng được cắt ra từng gói tin nhỏ (Packet) và truyền đi nhiều hướng khác nhau dựa vào các topology của hệ thống mạng và lưu lượng truyền thông trên mạng.

Trong quá trình truyền tin kẻ xâm nhập có thể lắng nghe thông tin trên đường truyền và bắt những gói tin nhằm đánh cắp thông tin. Cho nên việc chia nhỏ các gói tin trong khi truyền cũng là một bước quan trọng làm giảm rủi ro truyền tin và mất dữ liệu trên mạng. Các gói tin sau khi lưu thông trên mạng một khoảng thời gian t sẽ quy định về thời gian sống của gói tin (Time to Live – TTL). Trong quá trình truyền tin có thể số lượng gói tin đến đích không đủ nhưng dựa vào các thuật toán ta có thể khôi phục những gói tin bị hỏng và tiến hành ghép nối các gói tin sau đó là nhiệm vụ giải mã. Tại nơi nhận với bản mã M và khóa mã K, thuật toán dịch D sẽ tạo ra bản rõ R = DK(M). Nếu trong trường hợp kẻ xâm nhập thu được dữ liệu ở dạng mã M nhưng không có khóa K, thì anh ta phải cố gắng khôi phục R hoặc khóa K (có thể kẻ xâm nhập đã biết thuật toán mã E và thuật toán giải mã D). Trong trường hợp, anh ta chỉ quan tâm đến nội dung thông báo, thì anh ta sẽ cố khôi phục R bằng việc sinh ra một ước lượng R’ của R. Tuy nhiên thường kẻ tấn công mong muốn tìm ra khóa K để giải mã các thông báo tiếp theo, bằng cách sinh ra một khóa ước lượng K’ của K. Độ bảo mật của mật mã khóa bí mật là thước đo mức độ khó khăn của việc tìm ra thông báo rõ hoặc khóa khi biết bản mã.

Như vậy việc mã hóa thông tin để truyền trên hệ thống mạng là cực kỳ quan trọng trong việc phòng chống đánh căp thông tin ở dạng thụ động. Hiên nay trên thế giới có rất nhiều thuật toán, phương pháp mã hóa khác nhau. Tuy nhiên tùy theo mục đích và điều kiện người ta áp dụng các phương pháp mã hóa khác nhau. Đầu tiên phải kể đến mã hóa dạng khối DES (Data Encryption Standards) được đưa vào sử dụng bắt đầu từ năm 1977 bởi NIST – Viện chuẩn và công nghệ Quốc gia Mỹ và được sử dụng ngày càng phổ biến trên toàn thế giới trong những năm gần đây và được tranh luận là khá an toàn. DES sử dụng mã khối dữ liệu với mỗi khối chiếm 64 bits. Tuy nhiên, với tốc độ phát triển về khoa học công nghệ thì mức độ bảo mật như vậy là chưa đủ độ an toàn cao. Người ta đã đưa ra những phiên bản nâng cấp cao hơn như Chuẩn mã nâng cao AES – Rijndael vào 11/2001 với kích thước khối dữ liệu 128 bít và độ dài khóa là tùy biến: 128, 192 hoặc 256 bít.

Dạng mã hóa thứ 2 phải kể đến đó là RC5 là dạng mã hiện đại đăng ký bản quyền của RSADSI. RC5 có nhiều cỡ khóa và dữ liệu khác nhau và đặc biệt không có vòng lặp. RC5 được đánh giá là an toàn và dễ dàng cài đặt trên nhiều loại hình CPU. RC5 có tham số RC5-w/r/b trong đó: w là kích thước của từ (16/32/64), r là số vòng (0-255) và b là số byte của khóa 0-255. Phiên bản chuẩn là RC5-32/12/16. Mở rộng khóa RC5, RC5 sử dụng 2r + 2 từ khóa con (w-bit). Các khóa con lưu trong mảng R[j],i = 0,1,…, t-1. Như vậy, để trao đổi nhanh chóng các bản tin giữa hai điểm tuyền tin, người ta thường phải dùng các hệ thống mã bí mật như DES. Nhưng vì DES có một nhược điểm là phải trao đổi khóa bí mật trước khi thực hiện truyền thông bí mật. Do đó chúng ta cần phải chuyển khóa bằng một hệ mã công khai như RSA.

Hơn nữa, trong thời đại bùng nổ của CNTT và làm việc qua mạng ở thời gian gần đây tại Việt Nam như chữ ký điện tử, đấu thầu qua mạng… thì việc sử dụng các hệ mật mã và các sơ đồ chữ ký số là cần thiết, việc mã hóa thường là mã trên từng bit của dữ liệu và giải pháp cho các vấn đề vướng mắc đến chữ ký số là dùng hàm băm (hash) để trợ giúp. Các thuật toán băm với đầu vào là các bức thông điệp có dung lượng, kích thước tùy ý (từ vài KB đến vài chục MB) – các bức thông điệp có thể là dạng văn bản, hình ảnh, âm thanh hay các tập tin ứng dụng. Thuật toán băm được áp dụng là MD (Message-Digest algorithm): MD2, MD4, MD5 được Rivest đưa ra với kết quả đầu ra có độ dài là 128 bit. Hàm băm MD4 đưa ra vào năm 1990 và phiên bản mạnh MD5 cũng được đưa ra một năm sau đó. Để có một chuẩn hàm băm an toàn, vào năm 1993, NIST – Viện chuẩn Quốc gia của Mỹ đã công bố chấp nhận làm tiêu chuẩn SHA (Secure Hashing Algorithm) với độ dài kết quả đầu ra 160 bít, phức tạp hơn nhiều nhưng cũng dựa trên các phương pháp tương tự và đây được xem như những giải pháp cho vấn đề xác thực và bảo mật cho hệ thống chữ ký số hiện nay.

Như vậy, có rất nhiều vấn đề liên quan với các phương pháp truyền tin như Link Oriented hay End to End và thuật toán mã hóa như DES, RSA, SHA. Tuy nhiên, trên thực tế, tương lai chúng sẽ được cải tiến thế nào để tăng tốc độ mã hóa và truyền tin hơn nữa nhưng vẫn đảm bảo độ an toàn thông tin cao nhằm đáp ứng nhu cầu phát triển về bảo mật hiện nay vẫn là một khoảng lớn trong lĩnh vực nghiên cứu về bảo mật.