C (Kiểm tra) giám sát và soát xét ISMS
A (Hành động) Duy trì và cải tiến ISMS
4.3.3. Mã hóa đảm bảo ATTT
4.3.3.a. Tổng quan về mã hóa
Mã hóa được sử dụng để bảo vệ thông tin, bằng cách chuyển đổi thông tin từ dạng có thể đọc và hiểu được thông thường sang dạng thông tin không thể hiểu theo cách thông thường, chỉ có người có quyền truy cập vào khóa giải mã hoặc có mật khẩu mới có thể đọc được nó. Mục đích của việc mã hóa dữ liệu là bảo vệ dữ liệu khi nó được lưu trữ trên các hệ thống máy tính và truyền qua môi trường mạng.
Một hệ mã hóa hay hệ mật mã (Cryptosystem) là một bản cài đặt của các kỹ thuật mật mã và các thành phần có liên quan để cung cấp dịch vụ bảo mật thông tin. Hình 4.3 dưới đây mô tả các thành phần của một hệ mã hóa đơn giản dùng để đảm bảo tính bí mật của thông tin từ Người gửi (Sender) truyền đến Người nhận (Receiver) mà không bị một Bên thứ ba
(Interceptor) nghe lén. Các thành phần của một hệ mã hóa đơn giản gồm Bản rõ (Plaintext), Giải thuật mã hóa (Encryption algorithm), Bản mã (Ciphertext), Giải thuật giải mã
122
Hình 4. 3 Các thành phần của một hệ mã hóa đơn giản
4.3.3.b. Các kỹ thuật mã hóa
Mã hóa đối xứng
Hệ thống mã hóa đối xứng(Symmetric cryptosystem)là hệ thống mã hóa sử dụng một khóa bí mật chia sẻ (Sharedsecret-key) cho cả hai quá trình mã hóa và giải mã.
Quy trình mã hóa đối xứng được miêu tả như sau:
- Dùng giải thuật ngẫu nhiên mã hóa và khóa để mã hóa dữ liệu gửi đi.
- Bằng cách nào đó, khóa bí mật chia sẻ của người gửi sẽ được gửi đến cho người nhận, có thể là giao trước hoặc sau khi mã hóa dữ liệu.
- Khi người nhận nhận được dữ liệu, họ sẽ dùng khóa bí mật chia sẻ này để giải mã dữ liệu để có được dữ liệu chuẩn.
Tuy nhiên vấn đề bảo mật nằm ở chỗ, làm thế nào để chuyển khóa bí mậtchia sẻcho người nhận một cách an toàn. Nếu khóa này bị lộ thì bất kì ai sử dụng giải thuật phía trên đều có thể giải mã được dữ liệu, tính bảo mật dữ liệu sẽ không đảm bảo.
Mã hóa bất đối xứng
Hệ thống mã hóa bất đối xứng (Asymmetric cryptosystem) sử dụng một khóa công khai (Public key) và một khóa bí mật (Private key) cho quá trình mã hóa và giải mã. Hệ thống
mã hóa bất đối xứng còn được gọi là hệ thống mã hóa khóa công khai (Public-key
cryptosystem).Thuật toán mã hóa bất đối xứng phổ biến là RSA.
Mã hóa trên điện toán đám mây
Các nhà cung cấp dịch vụ điện toán đám mây đã cố gắng bảo đảm an toàn của dịch vụ điện toán đám mây ít nhất bằng hoặc hơn mức độ an toàn của việc không sử dụng điện toán đám mây. Một số mô hình an toàn và thuật toán mã hóa cơ bản trên điện toán đám mây đã được xuất bản gần đây gồm:
- Mô hình ba lớp bảo vệ dữ liệu: Lớp xác thực người dùng; Lớp bảo đảm mã hóa dữ liệu, toàn vẹn dữ liệu và bảo vệ tính riêng tư người dùng; Lớp phục hồi dữ liệu theo tốc độ giải mã.
123 - Mô hình bảo vệ dữ liệu sử dụng VPN cloud.
Mã hóa cho thiết bị di động thông minh
Nhu cầu đảm bảo an toàn cho các thiết bị di động càng trở nên bức thiết. Các thiết bị này là mục tiêu chung của tin tặc và tội phạm mạng. Nhiều nhà sản xuất thiết bị di động đã cài thêm mật khẩu để lưu và trao đổi dữ liệu, thậm chí mã hóa toàn bộ thẻ nhớ, chỉ cho phép người dùng có khóa mã (mật khẩu, vân tay, giọng nói, sinh trắc học..) xem được nội dung thông tin.
Mã hóa cho Internet vạn vật
Theo BI Intelligence, dự tính cuối năm 2019 sẽ có khoảng 27 tỉ thiết bị kết nối Internet
vạn vật (Internet of Thing / IoT) và đến năm 2025, con số này lên tới 64 tỉ thiết bị. Tất cả các
mạng IoT hiện tại và mạng IoT mới đều phải đối mặt với nguy cơ đe dọa mạng rất cao, vì thế công nghệ chuỗi khối (blockchain) được sử dụng trong bảo mật IoT.
Nền tảng blockchain có thể bảo mật các thiết bị kết nối bằng cách sử dụng chữ ký điện tử để nhận diện và xác thực các thiết bị này. Sau đó các thiết bị sẽ đóng vai trò là những đối tượng tham gia được ủy quyền trong mạng blockchain. Mỗi thiết bị được xác thực tham gia mạng IoT bảo mật dựa trên blockchain sẽ được coi là một thực thể tham gia, giống như trong mạng blockchain thông thường. Tất cả thông tin liên lạc giữa những người tham gia đã được xác minh (thiết bị IoT) sẽ được bảo mật bằng mật mã và lưu trữ trong nhật ký chống giả mạo.