Ngày nay, công nghệ thông tin ngày càng phát triển mạnh mẽ ứng dụng vào trong mọi lĩnh vực của đời sống, các thông tin trao đổi trên mạng ngày càng nhiều và đa dạng. Kèm theo sự phát triển của mạng thông tin thì nhu cầu bảo mật thông tin trên mạng trở nên cấp thiết và được quan tâm nhiều hơn. Các giải pháp, phương pháp bảo mật được nhiều tổ chức đưa ra rất nhiều và đa dạng.
Trong đó giải pháp chữ ký số, hạ tầng cơ sở khóa công khai (Public Key Infrastructure – PKI) là hệ thống vừa mang tính tiêu chuẩn, vừa mang tính công nghệ cho phép người dùng trong một mạng công cộng không bảo mật (như Internet), có thể trao đổi thông tin một cách an toàn thông qua việc sử dụng kỹ thuật mật mã với một cặp khóa riêng và công khai được chứng nhận bởi một nhà cung cấp chứng nhận số (Certificate Authority - CA) được tín nhiệm. Hệ thống PKI cung cấp một chứng thư số chứa khóa công khai, định danh người dùng, các trường thông tin liên quan và đi kèm là khóa riêng tương ứng cho người dùng. Một số ứng dụng của PKI cung cấp cho người dùng có thể kể đến: Mã hóa, giải mã văn bản; Xác thực người dùng ứng dụng;
Mã hóa email hoặc xác thực người gửi email; Tạo chữ ký số trên văn bản điện tử.
Song song, hệ thống này cũng phải đối mặt với nhiều loại hình tấn công. Trong đó, tấn công khôi phục, chiếm đoạt khóa riêng tương ứng chứng thư số người dùng là vấn đề rất nghiêm trọng có thể dẫn tới quá trình hoạt động không đúng đắn, mất an toàn của hệ thống PKI. Một số nguyên nhân chính có thể dẫn tới các tấn công này có thể kể đến như sau:
- Lỗi từ phía người dùng: quá trình lưu trữ khóa riêng của người dùng sử dụng các thiết bị không an toàn như sử dụng chung USB không bảo mật, lưu trên thiết bị di động Android hay dịch vụ lưu trữ miễn phí trên Internet…
- Hệ thống triển khai PKI không an toàn: hệ thống triển khai PKI bao gồm các máy chủ cung cấp dịch vụ PKI, giao thức thực thi PKI, máy tính cài phần mềm thực hiện ký số của người dùng. Những máy tính này có thể bị kẻ tấn công cài cắm mã độc thông qua lỗ hổng bảo mật của hệ điều hành, phần mềm thực hiện PKI để đánh cắp khóa riêng.
- Điểm yếu về mặt toán học hay điểm yếu trong cài đặt hệ mật khóa công khai trong chứng thư số: Hệ mật khóa công khai đi kèm trong chứng thư số thường gặp nhất là RSA và ít hơn là các hệ mật Elliptic. Một người quản trị không có kiến thức về hệ mật khóa công khai khi triển khai hệ thống PKI thường sẽ cài đặt các hệ mật này tồn tại điểm yếu về mặt toán học như độ dài khóa ngắn, các tham số thực hiện không đảm bảo an toàn.
Bài viết này sẽ trình bày những nguyên nhân chính mà kẻ tấn công sử dụng để thực hiện tấn công khôi phục, chiếm đoạt khóa riêng tương ứng chứng thư số của người dùng trong các hệ thống PKI được áp dụng rộng rãi trên hệ thống mạng máy tính trong những năm gần đây.
Kính mời Quý độc giả tham khảo bài viết đầy đủ tại đây
TS. Đỗ Quang Trung, TS. Nguyễn Văn Nghị, Đào Thị Thu Thủy (Học viện Kỹ thuật mật mã)
15:00 | 08/07/2020
08:00 | 12/04/2021
07:00 | 14/06/2019
14:00 | 24/02/2022
13:00 | 02/08/2022
08:00 | 14/06/2021
13:00 | 26/02/2021
14:00 | 17/03/2023
08:00 | 06/07/2020
08:00 | 24/05/2022
10:00 | 27/12/2024
Sáng 20/12, Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết đã hợp tác với Google và các cơ quan liên quan, cấp nhận diện cho ứng dụng chính phủ. Như vậy, Việt Nam trở thành một trong những nước tiên phong triển khai xác thực ứng dụng chính phủ trên Google Play.
10:00 | 18/10/2024
Chủ tịch UBND TP. Hà Nội yêu cầu việc tái cấu trúc thủ tục hành chính nhằm đơn giản hóa quy trình, tái sử dụng dữ liệu... theo phương châm "một việc một lần làm, hồ sơ nộp một lần".
09:00 | 09/08/2024
Mới đây, Chính phủ đã ban hành Nghị định số 48/2024/NĐ-CP sửa đổi, bổ sung Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Nghị định được ban hành nhằm đảm bảo tiện lợi cho tổ chức, cá nhân khi đăng ký cấp, sử dụng chứng thư số, thúc đẩy phát triển dịch vụ chứng thực chữ ký số, tạo lập nền tảng tin cậy để thực hiện các giao dịch điện tử với cơ quan nhà nước và các hoạt động phát triển kinh tế số.
09:00 | 27/12/2023
Trong bối cảnh kỹ thuật số phát triển nhanh chóng ngày nay, nhiều tổ chức, doanh nghiệp (TC/DN) đang trải qua những chuyển đổi quan trọng để ứng dụng công nghệ kỹ thuật số vào tất cả các lĩnh vực hoạt động kinh doanh nhằm thích ứng tốt hơn với nhu cầu của khách hàng và nhà đầu tư. Quá trình này được gọi là “chuyển đổi kỹ thuật số”. Một khía cạnh quan trọng của sự chuyển đổi này là điện toán đám mây, khi nó mang đến nhiều lợi ích như khả năng mở rộng, tiết kiệm chi phí và tăng hiệu quả. Tuy nhiên, khi chuyển đổi dữ liệu lên đám mây cũng mang đến những thách thức bảo mật mới mà các TC/DN cần phải giải quyết. Vì thế, xây dựng chiến lược và áp dụng các thực tiễn bảo mật đám mây phù hợp là mục tiêu mà các TC/DN nên hướng đến nhằm bảo vệ dữ liệu được an toàn hiệu quả.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 21/02, Chính phủ ban hành Nghị định số 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy. Nghị định này quy định về chữ ký điện tử và dịch vụ tin cậy, trừ chữ ký số chuyên dùng công vụ và dịch vụ chứng thực chữ ký số chuyên dùng công vụ. Nghị định áp dụng đối với các cơ quan, tổ chức, cá nhân tham gia trực tiếp hoặc có liên quan đến chữ ký điện tử và dịch vụ tin cậy.
14:00 | 28/02/2025
Thủ tướng Chính phủ Phạm Minh Chính vừa ký Quyết định số 598/QĐ-TTg ngày 13/3/2025 thành lập Ban Chỉ đạo của Chính phủ về phát triển khoa học, công nghệ, đổi mới sáng tạo, chuyển đổi số và Đề án 06 (Ban Chỉ đạo).
15:00 | 14/03/2025
