Thực tế, hầu hết các nhà sản xuất thiết bị USB mã hóa đều chưa thực sự quan tâm đến đối tượng (hệ thống thông tin nói chung hay các máy tính nói riêng) truy cập vào thông tin cần được bảo vệ trên các thiết bị lưu trữ chuẩn USB. Các thiết bị USB mã hóa đơn giản là sự tích hợp của USB thông thường và môi trường mã hóa, có lẽ nên được gọi là USB mã hóa thay vì USB an toàn. Trong bài báo này, nhóm tác giả sẽ đưa ra giải pháp đề xuất dựa trên nền tảng sử dụng công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị lưu trữ có mã hóa chuẩn USB nhằm giải quyết các vấn đề liên quan đến bài toán đảm bảo bảo mật và an toàn cho các thiết bị lưu trữ chuẩn USB.
Như đã biết ở Phần I, mã hóa là một trong những phương tiện hiệu quả để bảo vệ các phương tiện lưu trữ chuẩn USB làm cho các thiết bị lưu trữ USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng phương tiện lưu trữ bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc.
Tất nhiên, không có các giải pháp cụ thể nào có thể giải quyết triệt để vấn đề đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB đặc biệt trên khía cạnh sử dụng. Tuy nhiên, việc sử dụng kết hợp các thiết bị USB mã hóa với các phương tiện bảo vệ khác, chẳng hạn như hệ thống bảo vệ thông tin chống truy cập trái phép PUAA và hệ thống DLP, có thể mang lại kết quả tích cực.
Như vậy, một giải pháp an toàn, bảo mật tổng thể cho các thiết bị lưu trữ chuẩn USB phải là một hệ thống tổ hợp bao gồm cả phần cứng và phần mềm được thực thi cả trên bản thân các thiết bị lưu trữ và các hệ thống thông tin sử dụng nó (Tổ hợp giải pháp PAMEMS). Người sử dụng chỉ có thể truy cập vào bộ nhớ bên trong của thiết bị lưu trữ an toàn chuẩn USB khi 03 tham số bí mật của giao thức xác thực (PAMS) được đảm bảo gồm:
- Mật khẩu của người sử dụng;
- Thành phần khóa xác thực của các hệ thống thông tin/các máy tính kết nối;
- Thành phần khóa xác thực của bản thân các thiết bị lưu trữ chuẩn USB;
Như vậy, người sử dụng sẽ không thể sử dụng các thiết bị USB mã hóa để sao chép các thông tin không được phép tiết lộ của tổ chức vào các máy tính cá nhân hay các hệ thống thông tin không được phép. Các thiết bị lưu trữ USB an toàn sẽ chỉ hoạt động được trên các máy tính xác định có quyền và các máy tính an toàn cũng sẽ chỉ hoạt động với các thiết bị lưu trữ USB mà nó được chỉ định là an toàn.
Xét về mặt kiến trúc một giải pháp USB an toàn được đề xuất, đề xuất sẽ gồm 03 thành phần: phần mềm bên ngoài chạy trên máy tính (SWPC), module phần cứng lưu trữ an toàn (HWMS) và phần mềm chạy bên trong nó (FWMS).
Phần mềm bên ngoài SWPC hoạt động trên nền tảng vi điều khiển của máy tính, khi phát hiện được các HWMS được kết nối trên cổng USB, sẽ yêu cầu cung cấp mật khẩu người dùng và thực hiện giao thức xác thực PAMS với FWMS bên trong của module phần cứng HWMS. Phần mềm nội bộ SWMS hoạt động trên nền tảng vi điều khiển bên trong các HWMS sẽ đảm bảo việc thực thi giao thức xác thực PAMS từ phía nó. Khi 03 tham số bí mật của giao thức xác thực PAMS là chính xác (mật khẩu người dùng và khóa xác thực của HWMS và máy tính), quyền truy cập vào bộ nhớ bên trong của các HWMS sẽ được thực thi. Việc xác định thực thi hay không thực thi quyền truy cập vào trong bộ nhớ của module phần cứng HWMS là do vi điều khiển bên trong của module HWMS quyết định, không phải do máy tính. Do đó các nỗ lực truy cập trái phép từ phía máy tính không được quản trị viên đăng ký sử dụng HWMS là không thể thực thi.
Trên cơ sở giải pháp đề xuất, dưới đây sẽ là một số yêu cầu cơ sở đối với các thiết bị lưu trữ chuẩn giao tiếp USB an toàn. Cơ sở khoa học để đưa ra các yêu cầu này dựa trên kết quả tổng hợp các đặc tính kỹ thuật của các thiết bị phần cứng và môi trường phần mềm đảm bảo tính an toàn bảo mật cho các thiết bị lưu trữ chuẩn USB đã được thực thi (đảm bảo tính khả thi khi triển khai trong thực tế).
Các yêu cầu đối với việc thực thi mã hóa:
- Sử dụng cơ chế xác thực đa nhân tố:
+ Người sử dụng, bản thân thiết bị lưu trữ;
+ Người sử dụng, bản thân thiết bị lưu trữ và hệ thống thông tin kết nối;
- Thực thi mã hóa phân vùng bộ nhớ flash trên nền tảng phần cứng;
- Đảm bảo cơ chế bảo vệ an toàn các tham số quan trọng trong phần cứng thiết bị;
Mỗi quốc gia, tổ chức thường có những quy chuẩn kỹ thuật riêng quy định các yêu cầu cần phải đáp ứng đối với các thiết bị lưu trữ về các thuật toán mã hóa, xác thực, đảm bảo chất lượng nguồn ngẫu nhiên riêng… tương ứng với các cấp độ mật khác nhau của thiết bị lưu trữ, có thể tham khảo một số thông tin dưới đây:
- Nguồn ngẫu nhiên tạo mầm khóa sử dụng các bộ sinh số ngẫu nhiên phần cứng HRNG chuẩn ANSI X9.31 hoặc tương đương đối với cấp độ mật, NDRNG HW chuẩn SP 800-90A hoặc tương đương đối với cấp độ tối mật.
- Thuật toán đảm bảo toàn vẹn dữ liệu: tối thiểu CRC16 Checksum đối với cấp độ mật, CRC32 Checksum đối với cấp độ tối mật hoặc tương đương;
- Thuật toán bảo mật dữ liệu: AES khóa 192 bít đối với cấp độ mật và khóa 256 bít đối với cấp độ tối mật hoặc tương đương;
- Thuật toán xác thực dữ liệu: MAC sử dụng TDES cho cấp độ mật và CMAC sử dụng AES cho cấp độ tối mật hoặc tương đương;
Các yêu cầu về nghiệp vụ mật mã:
- Đảm bảo khả năng xác thực, đảm bảo an toàn linh kiện phần cứng và sản phẩm phần cứng chống các tấn công thay thế phần cứng trong quá trình sản xuất (4);
- Đảm bảo an toàn các thành phần phần mềm, phần sụn của giải pháp lưu trữ trong quá trình nạp, thực thi chống sao chép, chỉnh sửa mã nguồn (5);
- Đảm bảo an toàn vật lý chống các tấn công xâm nhập ở trạng thái tĩnh (tấn công nhân bản thiết bị), tấn công không xâm nhập ở trạng thái hoạt động (các kiểu tấn công kênh kề) (6): + Đảm bảo cơ chế tự hủy, chống mở vỏ (6.1);
+ Đảm bảo các tiêu chuẩn an toàn bức xạ điện từ trường (6.2).
- Đảm bảo khả năng phát hiện và cảnh báo virus, mã độc trước lưu trữ theo cấp độ mật (7);
Một số tổ chức khuyến nghị sử dụng chuẩn FIPS 140-2 level 2 cho cấp độ mật, FIPS 140-2 level 3 cho cấp độ tối mật hoặc tương đương.
Các yêu cầu về khả năng thích ứng với môi trường sử dụng và độ bền thiết bị:
- Đảm bảo dải nhiệt hoạt động theo môi trường làm việc (8); - Đảm bảo chống nước, chống bụi và các tác động vật lý cơ bản trong quá trình sử dụng (9); Các yêu cầu về khả năng cấu hình, quản lý, giám sát:
- Đảm bảo khả năng giám sát thông tin lưu trữ (10);
- Đảm bảo khả năng điều chỉnh cấu hình (11);
- Đảm bảo khả năng sao lưu tự động, khôi phục hồi dữ liệu (12); - Đảm bảo chế độ chỉ đọc chống chỉnh sửa (13);
Các yêu cầu về đặc tính lưu trữ, sử dụng:
- Đảm bảo dung lượng lưu trữ; tốc độ đọc/ghi; chuẩn giao tiếp…theo các yêu cầu và ngữ cảnh sử dụng (14);
- Đảm bảo các hướng dẫn chi tiết về quy trình, yêu cầu triển khai, sử dụng hệ thống lưu trữ (bao gồm cả phần cứng và các phần mềm kèm theo) (15).
Đánh giá khả năng đáp ứng nhóm yêu cầu cơ sở đối với một số thiết bị lưu trữ chuẩn giao tiếp USB mã hóa và giải pháp được thể hiện trong bảng dưới đây. Trong đó: X: Đáp ứng; -: Không đáp ứng; *: Không xác định; VL: dung lượng lưu trữ; RS: Tốc độ đọc; WS: tốc độ ghi; IT: chuẩn giao thức giao tiếp;
PAMEMS là bộ giải pháp kết hợp phần mềm ngăn chặn USB thương mại, giám sát và thiết bị lưu trữ có mã hóa chuyên dụng được phát triển riêng.
Trong bài báo này, trên cơ sở đánh giá các ưu, nhược điểm của các giải pháp đảm bảo an toàn cho các thiết bị lưu trữ chuẩn USB nhóm tác giả đã đề xuất giải pháp tăng cường tính an toàn, bảo mật trong việc sử dụng các thiết bị USB dựa trên nền tảng sử dụng công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị lưu trữ USB. Giải pháp đã được áp dụng và đánh giá tính năng thực tế trong bộ sản phẩm PAMEMS bao gồm phần mềm ngăn chặn USB thương mại, giám sát USB và thiết bị lưu trữ chuẩn USB có mã hóa được phát triển riêng.
|
TÀI LIỆU THAM KHẢO 1. S. Kamkar, (2014) “USBdriveby”. [Online]: http://samy.pl/usbdriveby/ 2. Nir Nissim, Ran Yahalom, Yuval Elovici, (2017) “USB-based attacks”. Available: http://dx.doi.org/doi:10.1016/j.cose.2017.08.002 3. Patterson, David A; Hennessy, John L, (2005) “Computer Organization and Design: The Hardware/Software Interface”. Amsterdam: Morgan Kaufmann Publishers. ISBN 1-55860-604-1. OCLC 56213091. 4. TCVN 11295:2016, (2016) “CNTT-Các kỹ thuật an toàn Yêu cầu an toàn cho Mô-đun mật mã”. |
Trần Văn Khánh, Nguyễn Thành Vinh, Đào Thành Long
15:00 | 09/05/2022
10:00 | 08/07/2020
08:00 | 10/02/2024
Hệ thống mật mã RSA là một trong các hệ mật mã khóa công khai đang được sử dụng rất phổ biến trong hệ thống mạng máy tính hiện nay. Việc lựa chọn tham số an toàn cho hệ mật RSA là vấn đề rất quan trọng trong cài đặt ứng dụng hệ mật này. Bài báo này trình bày chi tiết về khuyến nghị độ dài các tham số sử dụng cho hệ thống mật mã RSA như thừa số modulo, số mũ bí mật, số mũ công khai và các thừa số nguyên tố trong một số tiêu chuẩn mật mã của châu Âu, Đức và Mỹ.
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
16:00 | 13/02/2023
HTTP/3 là phiên bản chính thức thứ ba của Giao thức truyền siêu văn bản (HTTP), khác với những phiên bản trước đó sử dụng TCP, HTTP/3 sẽ chạy trên một giao thức mạng lớp vận chuyển gọi là QUIC, sử dụng UDP làm lớp truyền tải. Từ đánh giá về hiệu suất và độ tin cậy, HTTP/3 có một số ưu điểm nổi bật với các lợi ích bảo mật và quyền riêng tư, được coi là sự lựa chọn phù hợp cho tương lai, bên cạnh đó cũng có một số thách thức đáng chú ý. Bài viết này sẽ cung cấp đến độc giả về các lợi ích do HTTP/3 mang lại cùng một số lưu ý về bảo mật cần được xem xét.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
