Một số nguyên nhân rò rỉ khóa riêng chứng thư số

09:00 | 06/01/2021 | CÔNG NGHỆ PKI

Bài viết trình bày về vấn đề để lộ lọt khóa riêng tương ứng chứng thư số người dùng trong hệ thống hạ tầng cơ sở khóa công khai. Cụ thể, bài viết đưa ra các nguyên nhân, tấn công phổ biến thời gian gần đây nhằm khôi phục, đánh cắp khóa riêng tương ứng chứng thư số người dùng trong hạ tầng cơ sở khóa công khai đang được sử dụng rộng rãi trong những năm gần đây.

Ngày nay, công nghệ thông tin ngày càng phát triển mạnh mẽ ứng dụng vào trong mọi lĩnh vực của đời sống, các thông tin trao đổi trên mạng ngày càng nhiều và đa dạng. Kèm theo sự phát triển của mạng thông tin thì nhu cầu bảo mật thông tin trên mạng trở nên cấp thiết và được quan tâm nhiều hơn. Các giải pháp, phương pháp bảo mật được nhiều tổ chức đưa ra rất nhiều và đa dạng.

Trong đó giải pháp chữ ký số, hạ tầng cơ sở khóa công khai (Public Key Infrastructure – PKI) là hệ thống vừa mang tính tiêu chuẩn, vừa mang tính công nghệ cho phép người dùng trong một mạng công cộng không bảo mật (như Internet), có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng kỹ thuật mật mã với một cặp khóa riêng và công khai được chứng nhận bởi một nhà cung cấp chứng nhận số (Certificate Authority - CA) được tín nhiệm. Hệ thống PKI cung cấp một chứng thư số chứa khóa công khai, định danh người dùng, các trường thông tin liên quan và đi kèm là khóa riêng tương ứng cho người dùng. Một số ứng dụng của PKI cung cấp cho người dùng có thể kể đến: Mã hóa, giải mã văn bản; Xác thực người dùng ứng dụng;

Mã hóa email hoặc xác thực người gửi email; Tạo chữ ký số trên văn bản điện tử.

Song song, hệ thống này cũng phải đối mặt với nhiều loại hình tấn công. Trong đó, tấn công khôi phục, chiếm đoạt khóa riêng tương ứng chứng thư số người dùng là vấn đề rất nghiêm trọng có thể dẫn tới quá trình hoạt động không đúng đắn, mất an toàn của hệ thống PKI. Một số nguyên nhân chính có thể dẫn tới các tấn công này có thể kể đến như sau:

- Lỗi từ phía người dùng: quá trình lưu trữ khóa riêng của người dùng sử dụng các thiết bị không an toàn như sử dụng chung USB không bảo mật, lưu trên thiết bị di động Android hay dịch vụ lưu trữ miễn phí trên Internet…

- Hệ thống triển khai PKI không an toàn: hệ thống triển khai PKI bao gồm các máy chủ cung cấp dịch vụ PKI, giao thức thực thi PKI, máy tính cài phần mềm thực hiện ký số của người dùng. Những máy tính này có thể bị kẻ tấn công cài cắm mã độc thông qua lỗ hổng bảo mật của hệ điều hành, phần mềm thực hiện PKI để đánh cắp khóa riêng.

- Điểm yếu về mặt toán học hay điểm yếu trong cài đặt hệ mật khóa công khai trong chứng thư số: Hệ mật khóa công khai đi kèm trong chứng thư số thường gặp nhất là RSA và ít hơn là các hệ mật Elliptic. Một người quản trị không có kiến thức về hệ mật khóa công khai khi triển khai hệ thống PKI thường sẽ cài đặt các hệ mật này tồn tại điểm yếu về mặt toán học như độ dài khóa ngắn, các tham số thực hiện không đảm bảo an toàn.

Bài viết này sẽ trình bày những nguyên nhân chính mà kẻ tấn công sử dụng để thực hiện tấn công khôi phục, chiếm đoạt khóa riêng tương ứng chứng thư số của người dùng trong các hệ thống PKI được áp dụng rộng rãi trên hệ thống mạng máy tính trong những năm gần đây.

Kính mời Quý độc giả tham khảo bài viết đầy đủ tại đây

TS. Đỗ Quang Trung, TS. Nguyễn Văn Nghị, Đào Thị Thu Thủy (Học viện Kỹ thuật mật mã)

‹ › ×

Tin liên quan

Cách gia hạn, thay đổi thông tin Chứng thư số sử dụng VGCA Renew Tool

15:00 | 08/07/2020

Bài báo này hướng dẫn chi tiết các bước gia hạn, thay đổi thông tin Chứng thư số sử dụng công cụ VGCA Renew do Ban Cơ yếu Chính phủ cung cấp.

Tấn công quá trình thu hồi chứng thư số

08:00 | 12/04/2021

Bài viết này trình bày tấn công quá trình thu hồi chứng thư số đối với hạ tầng cơ sở khóa công khai trong phiên kết nối bảo mật bằng giao thức TLS. Cách thức tấn công hạ tầng cơ sở khóa công khai công cộng trong bước yêu cầu thu hồi chứng thư số từ người dùng tới trung tâm chứng thực. Phần cuối bài viết đưa ra kết luận và các khuyến nghị để hạn chế tấn công này.

Tình hình quản lý, cung cấp và sử dụng chứng thư số, dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ

07:00 | 14/06/2019

Sự phát triển mạnh mẽ Chính phủ điện tử ở Việt Nam, đặc biệt sự ra đời của Uỷ ban Quốc gia về Chính phủ điện tử, chủ trương tăng cường điều hành công việc qua mạng, giảm thiểu công văn, giấy tờ, ứng dụng mạnh mẽ chữ ký số chuyên dùng phục vụ công tác quản lý, điều hành, các dịch vụ công trực tuyến đã dẫn đến nhu cầu sử dụng và triển khai dịch vụ chứng thực chữ ký chuyên dùng Chính phủ tăng nhanh và đột biến. Tình hình trên đã đặt ra những nhiệm vụ mới cho Cục Chứng thực số và Bảo mật thông tin nói riêng và Ban Cơ yếu Chính phủ nói chung trong triển khai, quản lý, sử dụng và khai thác hiệu quả chữ ký số và dịch vụ chứng thực chữ ký số chuyên dùng Chính phủ.

Hướng dẫn kiểm tra thông tin Chứng thư số

08:00 | 06/07/2020

Qua bài báo này, Tạp chí An toàn thông tin cung cấp cho bạn đọc cách kiểm tra thông tin Chứng thư số chuyên dùng cho người dùng.

Dữ liệu âm thanh của Clubhouse bị rò rỉ làm tăng lo ngại về bảo mật

13:00 | 26/02/2021

Ứng dụng phòng chat âm thanh nổi tiếng Clubhouse tuyên bố sẽ thực hiện các biện pháp để đảm bảo dữ liệu người dùng không bị đánh cắp bởi tin tặc hoặc gián điệp độc hại. Tuy nhiên, một kẻ tấn công mạng đã chứng minh rằng âm thanh thời gian thực của nền tảng Clubhouse có thể bị đánh cắp.

Trên 40 ứng dụng di động với hơn 100 triệu lượt cài đặt bị phát hiện rò rỉ khóa AWS

08:00 | 14/06/2021

Hầu hết người dùng ứng dụng di động thường tin tưởng các ứng dụng họ tải xuống từ các cửa hàng ứng dụng là an toàn và bảo mật. Thực tế đã cho thấy không phải lúc nào cũng vậy.

Tin cùng chuyên mục

Savis chính thức ra mắt dịch vụ chứng thực điện tử cấp dấu thời gian

08:00 | 01/04/2021

Chiều 31/3/2021, tại Hà Nội, công ty Cổ phần Công nghệ SAVIS đã chính thức ra mắt Dịch vụ chứng thực điện tử cấp dấu thời gian đầu tiên và duy nhất tại Việt Nam – TrustCA Timestamp. Tham dự buổi lễ có đại diện lãnh đạo các cơ quan, đơn vị thuộc các Bộ, Ban, Ngành Trung ương và địa phương, các hội, hiệp hội, tổ chức, doanh nghiệp Tài chính - Ngân hàng, Truyền hình - Viễn thông, Y tế, Giáo dục...

Mở rộng phạm vi ứng dụng chữ ký số phục vụ giao dịch điện tử

10:00 | 13/07/2020

Các lĩnh vực ứng dụng chữ ký số trong nước còn hạn chế, chưa áp dụng nhiều vào dịch vụ công, lĩnh vực tài chính, ngân hàng...

Hướng dẫn cài đặt phần mềm vSignPDF 3.1.7

08:00 | 26/06/2020

Để hỗ trợ ký số trên PDF, Ban Cơ yếu Chính phủ đã cung cấp phần mềm vSign PDF phiên bản 3.1.7 dành cho các cơ quan Đảng và Nhà nước. Dưới đây là hướng dẫn chi tiết các bước cài đặt phần mềm.

Đảm bảo quy định kỹ thuật khi cung cấp dịch vụ ký số từ xa

14:00 | 09/06/2020

Để bảo đảm việc cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa đúng quy định và an toàn, Trung tâm Chứng thực điện tử quốc gia, Bộ Thông tin và Truyền thông vừa có công văn về hoạt động cung cấp dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa gửi các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng trên cả nước.