NGUY CƠ MẤT AN TOÀN HỆ THỐNG TỪ RNG “HỘP ĐEN” Mật mã có thể ví như là xương sống của an toàn thông tin, đảm bảo tính bí mật, toàn vẹn và xác thực của dữ liệu. Trong đó, số ngẫu nhiên đóng vai trò nền tảng cốt lõi của các hệ thống mật mã hiện đại. Từ việc tạo khóa bí mật, vector khởi tạo (IV), nonce, đến các tham số trong giao thức trao đổi, thoả thuận khóa, tất cả đều yêu cầu tính ngẫu nhiên cao. Một bộ sinh số ngẫu nhiên (RNG) yếu hoặc bị thao túng có thể phá hủy hoàn toàn hệ thống mật mã dù cho các thuật toán mã hóa cốt lõi an toàn tuyệt đối. Thực tế, nhiều quốc gia và tổ chức đang phụ thuộc vào các thuật toán RNG chuẩn hóa quốc tế (như NIST SP 800-90A, ISO/IEC 18031) mà thiếu đi sự nghiên cứu, kiểm định độc lập. Sự kiện Dual_EC_DRBG [1] năm 2013 là hồi chuông cảnh tỉnh về hậu quả của việc mù quáng tin tưởng vào “hộp đen” mật mã. Backdoor tiềm ẩn - Bài học từ Dual_EC_DRBG: Dual_EC_DRBG, một thuật toán sinh số ngẫu nhiên dựa trên đường cong elliptic, từng được NIST chuẩn hóa vào năm 2006. Cơ chế hoạt động của nó dựa trên hai điểm P và Q cố định trên đường cong. Năm 2007, Shumow và Ferguson phát hiện: Nếu tồn tại một hệ số d sao cho Q=d.P, kẻ tấn công có thể dự đoán toàn bộ chuỗi số ngẫu nhiên chỉ từ một phần đầu ra [2]. Đến năm 2013, Edward Snowden tiết lộ tài liệu mật cho thấy Cơ quan An ninh Quốc gia Mỹ (NSA) đã cố ý thiết kế backdoor này để giám sát các hệ thống sử dụng Dual_EC_DRBG [1]. Hậu quả là h&a...