TLS (Transport Layer Security), là giao thức bảo mật tầng giao vận, được phát triển dựa trên Secure Socket Layer (SSL). TLS cung cấp cơ chế trao đổi thông tin an toàn sử dụng mật mã đối xứng để mã hóa dữ liệu truyền đi.
Song song với sự phát triển của công nghệ nhằm chống lại những thách thức về rủi ro mất ATTT là sự phát triển của TLS. Dựa trên SSL phiên bản 3.0 (SSL v3.0), giao thức TLS phiên bản đầu tiên 1.0 (TLS v1.0) ra đời được tổ chức Lực lượng chuyên trách về kỹ thuật liên mạng (Internet Engineering Task Force - IETF) công bố tại RFC 2246 (Request for Comments) vào tháng 01/1999. RFC là những tài liệu kỹ thuật và tổ chức về Internet, bao gồm những tài liệu đặc tả kỹ thuật và chính sách được tổ chức IETF phát hành. Sự khác biệt giữa TLS v1.0 và SSL v3.0 không đáng kể, nhưng điểm khác biệt lớn nhất là chúng không tương thích với nhau. Mặc dù, TLS v1.0 được kết hợp một cơ chế cho phép thực hiện TLS v1.0 phù hợp với SSL v3.0.
Đến tháng 4/2006, TLS v1.1 được IETF công bố tại RFC 4346. Đây là bản cập nhật so với TLS v1.0. Trong đó, cải tiến nổi bật nhất là tính năng chống lại tấn công mã khối (Cipher Block Chaining - CBC).
Tháng 8/2008, phiên bản TLS v1.2 ra đời và được định nghĩa trong RFC 5246. Trong 10 năm qua, TLS v1.2 được sử dụng rộng rãi bởi đa số các trình duyệt web như: Chrome (8/2013), Safari trên OS X (10/2013), Firefox (2/2014).
So với TLS v1.2, TLS v1.3 hứa hẹn sẽ gia tăng tốc độ và nâng cao an toàn bảo mật. Tuy nhiên, hiện nay, TLS v1.3 vẫn đang quá trình hoàn thiện và vẫn còn trong dự thảo (trên Github).
Sự khác biệt giữa TLS v1.0 và TLS v1.1
Một số cải tiến của TLS v1.1 so với TLS v1.0, bao gồm:
- Véc-tơ khởi tạo không chính thức (Implicit Initialization Vector) được thay thế bằng một véc-tơ khởi tạo rõ ràng (Explicit Initialization Vector) để bảo vệ chống lại các cuộc tấn công CBC.
- Xử lý lỗi đệm được thay đổi, sử dụng cảnh báo bad_record_mac thay cho cảnh báo decryption_failed để bảo vệ chống lại các cuộc tấn công CBC.
- Đăng ký IANA (Internet Assigned Numbers Authority - Tổ chức cấp phát số hiệu Internet) được định nghĩa cho các tham số giao thức.
- Việc đóng phiên làm việc vẫn có thể khôi phục lại được.
- Bổ sung thông tin về các cuộc tấn công mới khác trên TLS.
Sự khác biệt giữa TLS v1.1 và TSL v1.2
Những thay đổi chủ yếu của TLS v1.2 so với TLS v1.1 là:
- Việc kết hợp các thuật toán MD5 và SHA-1 trong hàm giả ngẫu nhiên (Pseudorandom Function - PRF) được thay thế bằng thuật toán SHA256 (thuật toán SHA 256 bit) và tùy chọn sử dụng các PRF được xác định bằng mật mã.
- Việc kết hợp các thuật toán MD5 và SHA-1 trong thành phần được ký số đã được thay thế bằng một băm duy nhất. Các thành phần được ký số hiện nay bao gồm một trường thông tin quy định cụ thể thuật toán băm được sử dụng.
- Tăng cường khả năng của máy khách và máy chủ để xác định băm và các thuật toán ký số chúng sẽ chấp nhận.
- Bổ sung hỗ trợ thuật toán mã hóa xác thực bằng các mô hình dữ liệu.
- Định nghĩa mở rộng TLS và bộ mã hóa AES đã được sáp nhập làm một.
- Tăng cường khả năng kiểm tra chặt chẽ hơn số phiên bản của EncryptedPreMasterSecret.
- Cấu hình mặc định TLS_RSA_WITH_AES_128_CBC_SHA để thực hiện mã hóa. Thêm bộ mã hoá HMAC- SHA256 và loại bỏ bộ mã hoá IDEA và DES.
Sự khác biệt giữa TLS v1.2 và TSL v1.3
Dự kiến, những cải tiến trong TLS v1.3 sẽ giúp tăng tốc độ kết nối bằng việc giảm 2 bước trong quá trình.
Một ưu điểm khác của TLSv 1.3 bổ sung tính năng ‘zero round trip” (0-RTT) có hiệu quả trong cải thiện thời gian tải bằng việc gửi và lưu dữ liệu của các trang web truy cập trước đó.
Trải qua một qua trình phát triển, cho tới nay, TLS/SSL vẫn được cho là giao thức bảo mật phổ biến. Ngày 04/01/2011, Bộ Thông tin và Truyền thông đã phát hành Thông tư số 01/2011/TT-BTTTT về việc Công bố Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước. Cụ thể, đối với loại tiêu chuẩn an toàn tầng giao vận TLS v1.2 và SSL v3.0 là 2 tiêu chuẩn bắt buộc phải áp dụng. Trong trường hợp muốn đảm bảo an toàn trên đường truyền, quy định các ứng dụng và các máy chủ cung cấp dịch vụ bắt buộc phải áp dụng và hỗ trợ các giao thức SSL/TLS.
Vân Ngọc
Tổng hợp
17:00 | 13/05/2024
Sáng ngày 13/5, tại Hà Nội, dưới sự bảo trợ của Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an, Hiệp hội An ninh mạng Quốc gia tổ chức Hội thảo “Phòng, chống lừa đảo trên không gian mạng”, nhằm đẩy mạnh công tác tuyên truyền, phổ biến kiến thức về các hành vi lừa đảo chiếm đoạt tài sản và các quy định của pháp luật có liên quan để nâng cao ý thức cảnh giác của người dân, doanh nghiệp; tăng cường sự phối hợp đồng bộ giữa các cơ quan, tổ chức, doanh nghiệp và người dân trong công tác phòng, chống lừa đảo trên không gian mạng.
09:00 | 03/05/2024
Ransomware tiếp tục tấn công các tổ chức ở mọi lĩnh vực và các cuộc tấn công thường xuyên gây chú ý trên các phương tiện truyền thông vì tác động mạnh mẽ của chúng đối với các bên bị ảnh hưởng. Ví dụ cuộc tấn công ransomware được ghi nhận từ năm 1989 và nó đã trở thành hình thức tấn công mạng sinh lợi nhất trong thập kỷ vừa qua.
15:00 | 19/04/2024
Trong kỷ nguyên số, các doanh nghiệp đang đối mặt với các thách thức lớn về rủi ro mất an toàn thông tin. Vì vậy việc bảo đảm an toàn thông tin, dữ liệu cho doanh nghiệp, tổ chức và xác định, đánh giá, kiểm soát các rủi ro liên quan để bảo vệ thông tin một cách hiệu quả là chủ đề được các chuyên gia, doanh nghiệp chia sẻ tại Hội thảo: “ISO/IEC 27001 - An toàn thông tin và bảo vệ quyền riêng tư đối với doanh nghiệp trong kỷ nguyên số” diễn ra vào ngày 16/4 tại TP. Hồ Chí Minh vừa qua.
14:00 | 26/03/2024
Người dùng và các nhà phát triển đã vô tình tiết lộ khoảng 12,8 triệu dữ liệu bí mật và khóa xác thực nhạy cảm trên GitHub vào năm 2023, tăng 28% so với năm 2022.
Chiều ngày 15/5, tại Hà Nội, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn cùng đại diện lãnh đạo một số cơ quan, đơn vị thuộc Ban đã đến thăm và làm việc với Tòa án nhân dân tối cao nhằm phối hợp triển khai các nhiệm vụ về bảo mật và an toàn thông tin trong tình hình mới.
10:00 | 16/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Chiều ngày 16/5, tại Hà Nội, Tạp chí An toàn thông tin, Ban Cơ yếu Chính phủ đã có buổi làm việc với Viện Công nghệ Blockchain và Trí tuệ nhân tạo (Hiệp hội Blockchain Việt Nam) để cùng bàn về chương trình hoạt động hợp tác cụ thể trong thời gian tới.
09:00 | 17/05/2024