Các công nghệ hỗ trợ cho bảo mật các nội dung số dựa trên 2 loại mã hóa khác nhau sau:
4.2.1. Mã hóa đối xứng - Symmetric Key Cryptography
Mã hóa khóa bí mật - Secret key cryptography hay mã hóa đối xứng - symmetric key cryptography là phương pháp bảo vệ dữ liệu trong đó một khóa bí mật được sử dụng cho cả quá trình mã hóa và quá trình giải mã nội dung. Khóa sau đó được chia sẻ sử
dụng các phương thức khác nhau để tránh sự can thiệp lấy trộm khóa. Mã hóa đối xứng sử dụng bao gồm RSA, DES, 3DES, RC6, Twofish and Rijndael.
Phương thức mã hóa đối xứng Symmetric cryptography có một số ưu điểm bao gồm tốc độ thực hiện ( khoảng 10 lần nhanh hơn phương pháp mã hóa bất đối xứng), độ an toàn của các giải thuật và khả thi cho triển khai. Vấn đề chính đối với công nghệ mã hóa này là quá trình quản lý khóa – Key/phân phối khóa và quá trình cập nhật, cũng như khả năng nâng cấp công nghệ cho hạ tầng hệ thống. Trong hệ thống IPTV, sẽ không đảm bảo an toàn nếu chỉ triển khai hệ thống mã hóa đối xứng cho tất cả các nội dung vì tại một số điểm nào đó, các khóa cần được tạo mới và truyền qua cùng mạng như truyền dẫn nội dung thông thường. Một kẻ xâm nhập có có can thiệp vào đường truyền mã khóa để dễ dàng lấy được khóa và có thể truy cập các nội dung mã hóa.
4.2.2. Mã hóa bất đối xứng - Asymmetric Key Cryptography
Mã hóa công khai hay mã hóa bất đối xứng là phương pháp mã hóa bảo vệ dữ liệu trong đó một cặp khóa toán học được truyền đi với chức năng giống nhau. Whitfield Diffie và Martin Hellman là những người đi tiên phong trong công nghệ này từ năm 1976.
Bất kỳ một người dùng hay hệ thống có liên quan trong quá trình truyền tin sẽ có một cặp khóa: một khóa gọi là khóa bí mật - private key và khóa kia là khóa công khai – Public key. Nếu người dùng hay hệ thống muốn nhận được nội dung đã mã hóa, người gửi được cấp một bản sao khóa công khai. Khóa này có thể được truyền đi theo bất kỳ phương tiện truyền dẫn nào. Việc truyền các khóa công khai sẽ không ảnh hưởng đến tính an toàn của dữ liệu bởi vì khóa bí mật private key không thể bị lộ như đối với khóa công khai (với một chiều dài khóa xác định, mức độ phức tạp sẽ lớn và kẻ xâm nhập không thể đoán ra khóa bí mật được). Các nội dung được mã hóa bởi người gửi với khóa công khai của bên nhận chỉ có thể được giải mã nếu sử dụng mã hóa bí mật của bên gửi.
Mã hóa bất đối xứng có một số lợi điểm rõ ràng như khả năng quản lý khóa-key, quá trình phân phối khóa và khả năng nâng cấp mở rộng hệ thống. Một số nhược điểm
của phương thức mã hóa này là tài nguyên hệ thống cần nhiều nếu so sánh với phương pháp mã hóa đối xứng, làm giảm tốc độ xử lý của hệ thống.
Cả hai phương thức mã hóa đối xứng và bất đối xứng có thể dễ dàng kết hợp với nhau trong hệ thống IPTV.
4.2.3. Mã hóa lai - Hybrid Encryption
Mã hóa lai dựa trên sự kết hợp giữa mã hóa đối xứng và mã hóa bất đối xứng. Loại mã hóa này sử dụng một khóa đối xứng được tạo ra ngẫu nhiên sau đó được mã hóa với khóa công khai của bên nhận. Phương pháp này đảm bảo chỉ bên nhận có thể mở nội dung đã mã hóa trong khi vẫn đạt được tốc độ mã hóa nhanh hơn. Secure socket layer (SSL) được phát triển dựa trên phương pháp này. SSL được sử dụng thông suốt hệ thống mạng IPTV để bảo mật truyền tin giữa Set top box và máy chủ Middleware server, cũng như các truy cập quản lý với nhiều Server trong hệ thống.
Mã hóa lai được phát triển do yêu cầu về tính linh hoạt trong quản lý khóa bảo mật và yêu cầu về tốc độ cung cấp bởi phương pháp mã hóa đối xứng.
4.2.4. Các tiêu chuẩn mã hóa thường sử dụng
(i) Data Encryption Standard (DES):
Đây là giải thuật được sử dụng rộng rãi trong các tiêu chuẩn mã hóa, được hỗ trợ bởi chính phủ Hoa kỳ nhằm phục vụ bảo mật về thông tin truyền dẫn trong nhà nước. Tiêu chuẩn được tạo ra năm 1976. Phương pháp này mã hóa một khối dữ liệu cố định. DES sử dụng các khối 64 bits từ dữ liệu ban đầu và được thực hiện lặp 16 lần thuật toán mã hóa để tạo ra dòng dữ liệu mã hóa. 56 bits trong khóa của tiêu chuẩn DES cho phép tạo ra hơn 36 triệu tỷ khóa khác nhau. Số lượng khóa này là rất lớn nếu so sách về tốc độ xử lý của các hệ thống trong những năm 1970. Tuy nhiên hiện nay hoàn toàn là có thể thực hiện phá khóa bởi các hệ thống xử lý đời mới. Một chuẩn khác thuộc dòng DES là 3DES cũng được áp dụng cho phép thực hiện lặp tiếp 3 lần tiêu chuẩn DES thông thường để tăng mức độ phức tạp trong tính toán của thuật toán.
(ii) International Data Encryption Algorithm (IDEA)
Là một tiêu chuẩn mã hóa đối xứng. Tiêu chuẩn này là 8 vòng mã khóa với các khối dữ liệu 64 bits và khóa chiều dài 128 bits. Cùng một giải thuật áp dụng cho cả bên truyền và bên nhận thông tin. Tiêu chuẩn mã hóa này được xem là một tiêu chuẩn có độ bảo mật rất tốt. Điểm mạnh của tiêu chuẩn này là trộn nhiều nhóm đại số, đảm bảo tính an toàn cao cho các quá trình bẻ khóa vi sai hay tuyến tính.
(iii) Diffie Helman
Quy tắc đằng sau phương pháp mã hóa khóa công khai này là cung cấp khả năng truyền dẫn khóa trong mạng không bảo mật. Nội dung của tiêu chuẩn mã hóa này được xây dựng và phát triển từ tiêu chuẩn mã hóa PKI hay cơ chế mã hóa khóa công khai nói chung.
(iv) Rivest Shamir Adelman (RSA)
Đây là phương pháp mã hóa được sử dụng phổ biến nhất. Phương pháp này dựa trên mức độ phức tạp của thuật toán số nguyên tố lớn. Các khóa công khai và khóa bí mật là hàm của cặp các số nguyên tố lớn.
(v) Advanced Encryption Standard (AES)
Advanced encryption standard (AES) là chuẩn mã hóa được sử dụng rộng rãi trong lĩnh vực điện tử viễn thông ngày nay. AES là thuật toán mã hóa đối xứng khối block cipher 128-bit được phát triển bởi Vincent Rijmen, Joan Daemen và được sự hỗ trợ của chính phủ Mỹ xem như một thuật toán thay thế DES – thuật toán chỉ cho phép thực hiện mã hóa với khóa tối đa chiều dài 56 bits.
Thuật toán mã hóa AES gồm một khối các Bits kích thước 128 bits (Block size), với các khóa key chiều có thể là 128 bits, 192 bits hay 256 bits. Thuật toán được xác định với block size 128 bits cố định và các chìa khóa với kích thước là bội số của 32, nhưng nằm trong khoảng từ 128 Bits đến 256 bits.
Thuật toán mã hóa AES được xác định dựa trên số lần lặp lại của quá trình mã hóa chuyển đổi liên tục dữ liệu đầu vào để đưa ra kết quả đầu ra đã được mã hóa. Mỗi vòng mã hóa bao gồm một số bước xử lý tùy thuộc vào chiều dài của chìa khóa mã hóa. Các bước giải mã được thực hiện ngược lại với khi mã hóa để đưa dữ liệu đã được mã hóa thành dữ liệu gốc ban đầu nhờ sở dụng cùng khóa mã hóa.
Kiến trúc hệ thống mã khóa công khai:
Mã hóa bất đối xứng được yêu cầu là một phần của giải pháp đảm bảo bản quyền nội dung số, hơn nữa dạng hóa mã này hỗ trợ các ứng dụng kết hợp với mã khóa đối xứng tạo nên hệ thống mã hóa được gọi là Public key infrastructure (PKI).
Có 2 nội dung được thực hiện bởi hệ thống này và được đưa ra trong ITU-T recommendation X.509:
(i) Digital Signature- chữ ký số
Digital signature là quá trình thực hiện hàm Hash cho dòng Text đầu vào mã hóa với khóa bảo mật của người gửi tin. Dòng nội dung đầu ra được coi như Digital signature của dòng text nguyên thủy ban đầu. Khi một tin nhận được đính kèm với dòng text đã được mã hóa, người nhận lặp lại quá trình hash để giải mã dòng text đính kèm sử dụng khóa công khai của người gửi và so sánh 2 giá trị để đảm bảo chúng giống nhau. Quá trình này đảm bảo thông tin được truyền đầy đủ từ bên gửi tới bên nhận. Quá trình này thường được sử dụng trong các giao dịch thương mại điện tử.
Với quá trình mã hóa khóa công khai, các dòng text được mã hóa với khóa bí mật có thể được giải mã sử dụng khóa công khai. Quá trình này hỗ trợ ký các tài liệu điện tử và cho phép người gửi phân phối khóa của họ để các bên kiểm tra.
Hình 4.5 dưới cho thấy cách các nội dung số được ký điện tử và sau đó nội dung được kiểm tra tại nơi nhận như thế nào.
Hình 4.5: Ví vụ về quá trình thực hiện chữ ký số
(ii) Digital Certificate – Chứng nhận số :
Digital certificates tương tự như hộ chiếu/Chứng minh thư nhân dân. Nó được sử dụng để xác định danh tính của một người nào đó. Digital certificates được tạo ra bởi một bên thứ ba tin cậy, bao gồm các thông tin về danh tính của một người, bao gồm cả khóa công khai của người đó.
Bên thứ ba ký vào chứng nhận này được gọi là đơn vị phát hành chứng nhận số Certification Authority (CA) sẽ ký điện tử vào bản chứng nhận số này. Bất kỳ người nào nhận được một chứng nhận số như là một phần của quá trình xác thực biết rằng danh tính của người đó cũng gắn kèm với một khóa công khai của người đó, và bất kỳ dữ liệu nào được mã hóa sử dụng mã khóa đó chỉ được giải mã bởi chính người sở hữu khóa.
Cấu trúc của hệ thống PKI dựa trên mối quan hệ thực tế được biểu diễn dưới dạng quan hệ hình cây – tree. Gốc chính là CA và các nhánh là các bộ phận với chức năng CA cấp thấp hơn. Các lá chí là các người dùng cuối, thiết bị hay ứng dụng sử dụng chứng nhận số.
4.2.5. Secure Socket Layer (SSL) và Transport Layer Security (TLS):
Secure socket layer (SSL) ban đầu được phát triển bởi Netscape từ năm 1994 như là một cơ chế để hỗ trợ sự phát triển của công nghệ thương mại điện tử và các giao dịch hay truyền thông qua mạng internet. Công nghệ này đã được thực hiện và version 2 SSL v2 được xây dựng năm 1994.
Do những hạn chế về công nghệ mã hóa bảo mật trong việc sử dụng SSL, Paul Kocher, Allan Freier và Phil Karlton đã phát triển lên version tiếp theo SSLv3. Version mới này bao gồm một số giải thuật mới như DSS, Diffie-Hellman (DH) và National Security Agency’s FORTEZZA.
SSL được coi như là một cơ chế mã hóa dạng lai - hybrid encryption mechanism. Khi một trình duyệt mong muốn truy cập một website được bảo vệ bởi SSL, trình duyệt đó sẽ tạo ra một khóa ngẫu nhiên cho truyền tin và sẽ mã hóa khóa đó bằng khóa công khai từ Server. Khóa đã được mã hóa sau đó được chuyển đến server, khi đó server là nơi duy nhất có thể giải mã để lấy ra khóa đó, sau đó 2 máy tính client và server sẽ bắt đầu trao đổi thông tin nhờ sử dụng khóa ngẫu nhiên đã được client tạo ra trước đó..
Vào năm 1997, Internet Engineering Steering Group (IESG) đã tạo ra bước tiến triển lớn cho ra đời tiêu chuẩn Transport layer security (TLS). Tiêu chuẩn này bao gồm giải thuật DSS cho tác vụ chứng thực, DH cho xác nhận khóa và 3DES dùng cho mã hóa.