Gửi lúc: 05/01/2009 15:02:34
Bookmark and Share

An toàn Web với mã hoá SSL mạnh nhất

Phần lớn các chuyên gia an toàn mạng nhận thức được vấn đề xác thực SSL (Secured Sockets Layer Certificates) và phần quan trọng mà chúng đóng góp trong giao diện an toàn web tổng thể của bạn. Tuy nhiên, có một giao thức có khả năng bảo vệ đối với truy cập website còn ít được biết đến SGC (Server Gated Cryptography).

 Sử dụng một xác thực SSL có SGC sẽ làm tăng mức mã hoá sẵn có đối với nhiều truy cập website và thực tế đã cho thấy hầu hết những truy cập website có thể thực hiện sẽ liên kết ở mức mã hoá 128 bit hoặc mạnh hơn.
Hai mức mã hoá SSL
Mã hoá SSL xuất hiện hai mức cơ bản, mã hoá mức thấp và mã hoá mức cao. Mã hoá SSL mức thấp là mã hoá 40 hoặc 56 bit. Mã hoá SSL mức cao là mã hoá 128 bit hoặc 256 bit. Việc một phiên SSL nào đó xuất hiện ở mã hoá mức cao hay mức thấp phụ thuộc vào cả cấu hình hệ thống client và kiểu xác thực SSL đặt trong máy chủ web. Nhiều hệ thống client không thể sử dụng mã hoá SSL 128 bit trừ khi có xác thực SGC. Sự khác nhau giữa các mức mã hoá này là rất đáng kể. Mã hoá 128 bit đưa ra nhiều hơn 288 lần phép kết hợp so với mã hoá 40 bit, mạnh hơn xấp xỉ 300 triệu luỹ thừa 7 lần.

Dạng phá mã thông thường nhất đó là tính toán kiểu “tấn công vét cạn” (brute force). Năm 1997, SSL 40 bit đã bị một sinh viên phá trong thời gian khoảng 4giờ nhờ sử dụng phương pháp tính toán này, và ngày nay một hacker chuyên nghiệp với máy tính trong tay có thể phá chỉ trong vài phút. Nếu như hacker cũng sử dụng cách này để phá một phiên SSL 128 bit thì phải mất hơn một tỷ năm mới có thể thực hiện được.
Những yếu tố xác định mức mã hoá
Việc xác định những client nào sẽ thực hiện mã hoá SSL 128 bit và những client nào sẽ không mã hoá không chỉ phụ thuộc vào phiên bản trình duyệt client đó đang dùng mà còn phụ thuộc vào hệ điều hành cài đặt trên máy đó. Cả hai yếu tố này đều tác động đến việc thực thi các mức mã hoá SSL khác nhau trên client. Điều quan trọng cần chú ý là những vấn đề cấu hình này hoàn toàn tồn tại trên máy tính truy cập vào website; phần cứng, phần mềm và hệ điều hành của máy chủ không có ảnh hưởng gì tới khả năng truy cập thực thi mã hoá 128 bit.
Các trình duyệt chia làm 3 loại. Loại đầu tiên đơn giản không có khả năng kết nối ở mức 128 bit. Những trình duyệt này quá cũ, đến mức chúng đã không được dùng trước khi có khả năng này, và không một xác thực SSL nào hiện tại có thể kết nối tới chúng với mã hoá 128 bit. Những trình duyệt này là Internet Explorer các phiên bản trước 3.2 và Netscape các phiên bản trước 4.02. Các Client đang chạy những trình duyệt quá cổ này chỉ là những máy truy cập sẽ được kết nối tới một xác thực SSL có SGC thấp hơn 128 bit. Những trình duyệt cổ này hiện nay rất hiếm.
Loại trình duyệt thứ hai gồm các phiên bản Internet Explorer sau 3.02 những trình duyệt ra đời trước 5.5 và các phiên bản Netscape sau 4.02 và tới 4.72. Chúng thực thi mã hoá 128 bit khi kết nối tới những xác thực SSL có SGC và không sử dụng mã hoá 128 bit khi kết nối với những xác thực SSL không có mức xác thực như vậy. Những trình duyệt này hiện vẫn còn dùng trên phân nửa hệ thống sử dụng hiện nay nhưng vẫn có một sự hiện diện quan trọng trong thị trường. Những phiên bản trình duyệt mới nhất, Internet Explorer bắt đầu với phiên bản 5.5 và những phiên bản Netscape sau 4.72. Những trình duyệt này có khả năng cung cấp các phiên mã hoá 128 bit cho cả hai kiểu xác thực SSL - miễn là hệ điều hành cho phép nó. Một số trong các trình duyệt này cũng có khả năng kết nối ở mức mã hoá 256 bit nếu như máy chủ Web cũng có khả năng mã hoá 256 bit.
Nhiều người, ngay cả các chuyên gia về an toàn web, không nhận ra rằng hệ điều hành của máy client cũng có thể gây ra một phiên SSL không thực thi được mã hoá 128 bit. Cụ thể, nhiều hệ thống Windows 2000 không thực thi được mã hoá 128 bit trừ khi xác thực SSL hỗ trợ SGC. Điều quan trọng cần phải hiểu là điểm yếu về an toàn này xuất hiện chủ yếu trên các phiên bản Internet Explorer đang chạy trên client. Thậm chí những máy tính này đang chạy phiên bản Internet Explorer gần đây nhất vẫn không thực thi được mã hoá 128 bit.
Bất kỳ phiên bản copy nào của Windows 2000 xuất hiện trước tháng 3/2001 sau đó không được cập nhật thường xuyên sẽ phải chịu sự giới hạn này. Số lượng chính xác những hệ thống chịu ảnh hưởng nào vẫn chưa rõ, tuy nhiên, tháng 9 năm 2005, Yankee Group một hãng phân tích công nghệ hàng đầu kết luận rằng “hàng chục triệu” hệ thống client không thể thực thi mã hoá mạnh nếu không có một xác thực SSL có SGC.
Mỗi nhà quản trị website cần phân biệt sự khác nhau giữa hai kiểu xác thực SSL và lựa chọn một trong số hai loại này để đảm bảo an toàn nhất cho hầu hết những truy cập site. Những xác thực có SGC là cách duy nhất bạn có thể bảo vệ mỗi phiên SSL có mã hoá mạnh nhất sẵn có đối với mỗi truy cập vào site đó.

ThS. Phạm Thanh Thủy