1.2. CƠ SỞ KHOA HỌC VỀ PKI
1.2.1.4. Giao thức truyền tin an toàn tầng ứng dụng(Application)
Tầng ứng dụng là tầng cao nhất theo mụ hỡnh OSI, cỏc ứng dụng sử dụng dịch vụ do cỏc tầng dƣới cung cấp, vỡ thế đƣợc thừa kế tất cả đặc tớnh an toàn của cỏc tầng dƣới. Nếu kẻ tấn cụng khụng thể phỏ mó đƣợc tầng dƣới, thỡ dữ liệu của cỏc tầng trờn cũng đƣợc đảm bảo.
Vỡ tớnh thừa kế, nờn hầu hết cỏc ứng dụng chỉ cần sử dụng giao thức TLS bờn dƣới, là việc truyền tin tầng ứng dụng đó trở nờn an toàn:
* Cỏc ứng dụng trao đổi với nhau bằng địa chỉ IP: CARP kết hợp với IPSec đủ để đảm bảo an toàn truyền tin cho ứng dụng.
* Cỏc ứng dụng trao đổi với nhau bằng tờn miền: kết hợp CARP và SSL, hoặc kết hợp CARP, IPSec và DNSSEC, đủ đảm bảo an toàn truyền tin cho ứng dụng.
Vỡ cú thể tận dụng cỏc giao thức thấp hơn, nờn hầu hết cỏc giao thức truyền tin tầng ứng dụng khụng ỏp dụng mật mó vào bảo vệ, mà đơn giản là yờu cầu cỏc giao thức tầng thấp hơn phải sử dụng mật mó.
Cũng cú ngoại lệ trong cỏc trƣờng hợp sau, giao thức truyền tin tầng ứng dụng khụng thừa kế đƣợc những đặc tớnh an toàn của cỏc giao thức tầng thấp hơn:
* Ứng dụng cú nhu cầu “Quảng bỏ” (Broadcast): Ứng dụng cần phải gửi thụng điệp quảng bỏ, vỡ khụng mó hoỏ thụng điệp quảng bỏ nờn kẻ tấn cụng cú thể đọc đƣợc thụng điệp. Khi quảng bỏ, ứng dụng khụng biết trƣớc ai cú thẩm quyển trả lời thụng điệp, nờn kẻ tấn cụng cú thể tự nhận là ngƣời cú thẩm quyền. Trƣờng hợp này xảy ra ở cỏc giao thức tự động nhƣ DHCP, Router Discovery...
* Ứng dụng cú nhu cầu “Tiếp sức” (Relay): Thụng điệp cần phải trung chuyển qua cỏc trạm trƣớc khi đến đớch. Ứng dụng cú thể dựa vào cỏc tầng dƣới để đảm bảo thụng điệp đƣợc chuyển an toàn đến trạm trung chuyển, nhƣng nếu trạm trung chuyển bị kẻ tấn cụng kiểm soỏt, thỡ thụng điệp sẽ bị lộ. Trƣờng hợp này xảy ra ở cỏc giao thức nhƣ DHCP, Email...
Bảo vệ DHCP
Hiện nay dự ỏn Ethsec cú đề xuất về việc ứng dụng mật mó khoỏ cụng khai để bảo vệ DHCP, nhƣng chƣa đƣợc chuẩn hoỏ nờn tạm thời chƣa triển khai đƣợc
Bảo vệ cỏc giao thức Router Discovery
Hiện nay chƣa cú biện phỏp bảo vệ bằng mật mó khoỏ cụng khai, nếu muốn đảm bảo an ninh, ngƣời vận hành mạng cú thể cấu hỡnh bằng tay cỏc bộ định tuyến thay vỡ sử dụng cỏc giao thức tự động.
Bảo vệ E-mail
SMTP là giao thức truyền thƣ điện tử đƣợc sử dụng để vận chuyển cỏc Email trờn thế giới. SMTP phải dựng cỏc trạm trung chuyển để gửi thƣ, nờn cỏc tầng bảo vệ bờn dƣới khụng thể đảm bảo an toàn việc truyền Email.
Thế giới đang sử dụng đồng thời 2 phƣơng thức đảm bảo an toàn cho Email là PGP và S/MIME. PGP khụng sử dụng X.509 nờn ta chỉ quan tõm đến S/MIME.
S/MIME
PKI và S/MIME giỳp cho ngƣời dựng dễ dàng phỏt hiện đƣợc sự giả mạo thƣ điện tử. S/MIME cú 2 vấn đề tỏch rời là kớ và mó hoỏ.
Ngƣời gửi cú thể kớ thụng điệp bằng khoỏ riờng của họ, mọi ngƣời đều cú thể biết đƣợc bức thƣ khụng bị mạo danh bởi một kẻ khỏc.
Ngƣời gửi cú thể mó hoỏ thụng điệp bằng khoỏ cụng khai của ngƣời nhận, do đú chỉ đớch thõn ngƣời nhận mới cú thể đọc đƣợc thụng điệp đú.