1.2. CƠ SỞ KHOA HỌC VỀ PKI
1.2.1.2. Cụng nghệ SSL
SSL là giao thức đa mục đớch, đƣợc thiết kế để tạo ra cỏc giao tiếp giữa hai chƣơng trỡnh ứng dụng trờn một cổng định trƣớc (Socket 443), nhằm mó hoỏ toàn bộ thụng tin gửi / nhận. Giao thức SSL đƣợc hỡnh thành và phỏt triển đầu tiờn năm 1994 bởi nhúm nghiờn cứu Netscape, dẫn dắt bởi Elgamal và nay đó trở thành chuẩn bảo mật cài đặt trờn Internet.
SSL đƣợc thiết kế độc lập với tầng ứng dụng, để đảm bảo tớnh bớ mật, an toàn và chống giả mạo luồng thụng tin qua Internet giữa hai ứng dụng bất kỳ, thớ dụ giữa Webserver và cỏc trỡnh duyệt (Browsers), do đú đƣợc sử dụng rộng rói trong nhiều ứng dụng khỏc nhau trờn mụi trƣờng Internet.
Toàn bộ cơ chế và hệ thống thuật toỏn mó hoỏ trong SSL đƣợc phổ biến cụng khai, trừ khoỏ phiờn (Session key) đƣợc sinh ra tại thời điểm trao đổi giữa hai ứng dụng là ngẫu nhiờn và bớ mật đối với ngƣời quan sỏt trờn mạng mỏy tớnh. Ngoài ra, giao thức SSL cũn đũi hỏi ngƣời dựng phải đƣợc chứng thực bởi đối tƣợng thứ ba (CA) thụng qua chứng chỉ số (Digital Certificate) dựa trờn mật mó cụng khai (vớ dụ RSA).
SSL đƣợc thiết kế nhƣ là một giao thức riờng cho vấn đề bảo mật, cú thể hỗ trợ cho nhiều ứng dụng. Giao thức SSL hoạt động bờn trờn TCP / IP và bờn dƣới cỏc ứng dụng tầng cao hơn nhƣ là HTTP (HyperText Transfer Protocol), LDAP (Lightweight Directory Access Protocol) hoặc IMAP (Internet Messaging Access Protocol). Hiện nay SSL đƣợc sử dụng chủ yếu cho cỏc giao dịch trờn Web.
SSL cho phộp một Server (cú hỗ trợ SSL) tự xỏc thực với một Client (cũng hỗ trợ SSL), ngƣợc lại cho phộp Client tự xỏc thực với Server. SSL cho phộp cả hai mỏy thiết lập một kết nối đƣợc mó hoỏ.
* Chứng thực SSL Server:
Cho phộp Client xỏc thực đƣợc Server muốn kết nối. Trỡnh duyệt sử dụng kỹ thuật mó húa cụng khai để chắc chắn rằng chứng chỉ và public ID của Server là cú giỏ trị, đƣợc cấp phỏt bởi một CA (trong danh sỏch cỏc CA tin cậy của Client).
* Chứng thực SSL Client:
Cho phộp Server xỏc thực đƣợc Client muốn kết nối. Server cũng sử dụng kỹ thuật mó hoỏ khoỏ cụng khai để kiểm tra chứng chỉ của Client và public ID là đỳng, đƣợc cấp phỏt bởi một CA (trong danh sỏch cỏc CA tin cậy của Server).
* Mó hoỏ kết nối:
Tất cả cỏc thụng tin trao đổi giữa Client và Server đƣợc mó hoỏ trờn đƣờng truyền, nhằm nõng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bờn, khi cú cỏc giao dịch mang tớnh riờng tƣ. Ngoài ra, tất cả cỏc dữ liệu đƣợc gửi đi trờn một kết nối SSL đó đƣợc mó hoỏ, cũn đƣợc bảo vệ nhờ cơ chế tự động phỏt hiện cỏc xỏo trộn, thay đổi trong dữ liệu.
* Hai tầng trong Giao thức SSL.
Record Protocol là tầng thấp nhất của SSL Nú đƣợc dựng để đúng gúi một số giao thức ở mức cao hơn. Một trong những giao thức đƣợc đúng gúi là SSL
Handshake Protocol là giao thức cho phộp Server và Client xỏc thực lẫn nhau. Chỳng thoả thuận thuật toỏn mó hoỏ và cỏc khoỏ mật mó trƣớc khi thực hiện gửi hoặc nhận dữ liệu.
* Ƣu điểm và hạn chế của SSL.
Ƣu điểm:
Tớnh năng mạnh nhất của SSL / TLS là chỳng xỏc định đƣợc mối quan hệ với cỏc tầng giao thức khỏc trong hệ thống kiến trỳc mạng OSI. Tại mức cao nhất là phần mềm ứng dụng hoặc cỏc trỡnh duyệt. Chạy phớa dƣới cỏc ứng dụng này là giao thức tầng ứng dụng, bao gồm Telnet, FTP, HTTP…Bờn dƣới nữa là giao thức SSL và cỏc thuật toỏn mó hoỏ đƣợc sử dụng để kết nối. Bờn dƣới SSL là tầng giao vận. Hầu hết cỏc trƣờng hợp đú là TCP / IP.
Giao thức SSL là duy nhất khụng phụ thuộc vào giao thức mạng. SSL khụng phụ thuộc vào cỏc tầng giao thức, cho nờn SSL trở thành một nền tảng độc lập hay là một thực thể mạng độc lập.
Giao thức SSL ngăn chặn cỏch thức tấn cụng từ điển. Cỏch thức này sử dụng từ điển để phỏ khoỏ trong hệ mó hoỏ. SSL khắc phục đƣợc điều này bởi cho phộp khụng gian khoỏ là rất lớn đối với hệ mó hoỏ đƣợc sử dụng. SSL cung cấp hai mức độ tin cậy: 40 bit và 128 bit tuỳ thuộc khả năng của browser. SSL 128 bit và SSL 40 bit: ý núi độ dài của khoỏ phiờn dựng để mó hoỏ dữ liệu sau khi đó định danh và đƣợc thiết lập bằng giải thuật mó húa khoỏ cụng khai (RSA hoặc Diffie-Hellman). Độ dài của khoỏ phiờn càng lớn thỡ độ bảo mật càng cao. SSL 128 bit cú độ tin cậy lớn, theo RSA phải mất hàng tỉ năm mới cú thể giải mó đƣợc bằng cỏc kỹ thuật hiện nay. Cỏch thức tấn cụng từ điển cú thể bị ngăn chặn bởi sử dụng phƣơng phỏp số nonce (nonce number). Số này đƣợc sinh ngẫu nhiờn, đƣợc Server sử dụng, nonce number là một số khụng thể bị phỏ khoỏ.
Giao thức SSL bảo vệ chớnh nú với đối tỏc thứ 3. Đú là cỏc Client xõm nhập bất hợp phỏp dữ liệu trờn đƣờng truyền. Client xõm nhập này cú thể giả mạo Client hoặc Server, SSL ngăn chặn giả mạo này bằng cỏch dựng khoỏ riờng của Server và sử dụng chứng chỉ số. Phƣơng thức “Bắt tay” trong TLS cũng tƣơng tự. Tuy nhiờn, TLS tăng cƣờng sự bảo mật bằng cỏch cho phộp truyền phiờn bản giao thức, số hiệu phiờn làm việc, hệ mó hoỏ và cỏch thức nộn đƣợc sử dụng. TLS bổ xung thờm hai thuật toỏn “băm” khụng cú trong SSL.
Hạn chế:
Giao thức SSL, giống nhƣ bất kỳ cụng nghệ nào, cũng cú những hạn chế. Vỡ SSL cung cấp cỏc dịch vụ bảo mật, ta cần quan tõm tới cỏc giới hạn của nú.Giới hạn của SSL thƣờng nằm trong ba trƣờng hợp sau:
Đầu tiờn là do những ràng buộc cơ bản của bản thõn giao thức SSL. Đõy là hệ quả của việc thiết kế SSL và ứng dụng chịu sự tỏc động của nú. Thứ hai là giao thức SSL cũng thừa kế một vài điểm yếu từ cỏc cụng cụ mà nú sử dụng, cụ thể là cỏc thuật toỏn ký và mó hoỏ. Nếu cỏc thuật toỏn này sẵn cú điểm yếu, SSL cũng khụng thể khắc phục chỳng. Thứ ba là cỏc mụi trƣờng, trong đú SSL đƣợc triển khai cũng cú những thiếu sút và giới hạn.
Mặc dự trong thiết kế của nú đó xột đến mối quan hệ với rất nhiều ứng dụng khỏc nhau, SSL rừ ràng đƣợc tập trung vào việc bảo mật cỏc giao dịch Web. SSL yờu cầu một giao thức vận chuyển tin cậy nhƣ TCP. Đú là yờu cầu hoàn toàn hợp lý trong cỏc giao dịch Web, vỡ bản thõn HTTP cũng yờu cầu TCP. Tuy nhiờn, điều này cũng cú nghĩa là SSL khụng thể thực thi mà sử dụng một giao thức vận chuyển khụng kết nối
nhƣ UDP. Vỡ vậy, giao thức SSL cú thể hoạt động hiệu quả với phần lớn cỏc ứng dụng thụng thƣờng. Và thực tế là hiện nay SSL đang đƣợc sử dụng cho rất nhiều ứng dụng bảo mật, bao gồm truyền file, đọc tin trờn mạng, điều khiển truy cập từ xa...
SSL bị lỗi khi hỗ trợ dịch vụ bảo mật đặc biệt là “non-repudiation” (khụng thể chối bỏ). Non-repudiation kết hợp chữ ký số tƣơng ứng với dữ liệu, khi đƣợc sử dụng một cỏch hợp lý, nú ngăn ngừa bờn tạo và ký dữ liệu từ chối hay phủ nhận điều đú. Giao thức SSL khụng cung cấp cỏc dịch vụ “non-repudiation”, do đú sẽ khụng phự hợp với cỏc ứng dụng yờu cầu dịch vụ này.
SSL cú phiờn làm việc tồn tại quỏ lõu trong quỏ trỡnh “Bắt tay”, khoỏ phiờn đƣợc khởi tạo giữa Client và Server sử dụng trong suốt quỏ trỡnh kết nối. Khi khoỏ này cũn tồn tại, mỗi khi thụng điệp đƣợc gửi, xuất hiện lỗ hổng bảo mật trong kết nối, cho phộp kẻ lạ xõm nhập. Giao thức TLS khắc phục đƣợc lỗi này bằng cỏch thay đổi khoỏ cho mỗi phiờn làm việc.