IV.1.Công nghệ mã hóa là gì?
Từ công nghệ mã hóa là thuật ngữ chung mô tả tất cả các kỹ thuật được dùng để mã hóa tin nhắn hoặc làm cho chúng không thể hiểu được nếu không thực hiện các thao tác được quy định. Động từ có liên quan là mã hóa.
Công nghệ mã hóa chủ yếu dựa vào số học: Đối với văn bản, các chữ cái được chuyển thành dạng thông điệp với một loạt các con số (dạng bit trong điện toán vì máy vi tính sử dụng hệ nhị phân), sau đó sẽ có các phép tính được thực hiện trên những con số này để:
• Sửa chúng thành dạng không thể hiểu được. Kết quả của việc sửa đổi này (thông điệp mã hóa) được gọi là văn bản mật mã, trái với thông điệp ban đầu được gọi là văn bản gốc.
• Đảm bảo người nhận có thể giải mã chúng.
Thao tác sử dụng mã để giữ bí mật cho một thông điệp được gọi là mã hóa. Phương pháp trái ngược liên quan đến việc truy tìm thông điệp gốc được gọi là giải mã.
Việc mã hóa thường được thực hiện bằng cách sử dụng một khóa mã hóa trong khi giải mã dùng khóa giải mã. Nhìn chung, khóa được chia thành hai loại:
• Khóa đối xứng: những khóa này được dùng trong cả quá trình mã hóa và giải mã. Trong trường hợp này, chúng ta gọi là mã hóa đối xứng hoặc mã hóa khóa bí mật.
• Khóa bất đối xứng: những khóa này được sử dụng trong trường hợp mã hóa bất đối xứng (còn được gọi là mã hóa khóa công cộng). Trong trường hợp này, sẽ có một khóa khác được dùng cho mã hóa và giải mã.
Trong tiếng Anh, thuật ngữ giải mã cũng đề cập đến hành vi cố gắng giải mã thông điệp bất hợp pháp (dù kẻ thực hiện hành vi có biết khóa giải mã hay không).
Khi kẻ xâm nhập không biết khóa giải mã, chúng ta gọi đó là phân tích mật mã (thuật ngữ quen thuộc hơn là phá mã cũng thường được sử dụng).
Mật mã học là môn khoa học nghiên cứu về khía cạnh khoa học của các kỹ thuật này, tức là nó bao gồm cả công nghệ mã hóa và phân tích mật mã.
IV.2. Tại sao phảỉ sử dụng công nghệ mã hóa?
Con người luôn có nhu che giấu thông tin, thậm chí nhu cầu đó đã có từ rất lâu, trước khi xuất hiện chiếc máy tính và vi tính đầu tiên.
Từ khi mạng Internet ra đời nó đã được coi là một công cụ truyền thông thiết yếu. Tuy nhiên, phương thức truyền thông này ngày càng gây ra nhiều vấn đề chiến lược liên quan đến hoạt động trang web của các công ty. Các vấn đề nảy
sinh là việc giao dịch qua mạng có thể bị chặn hoặc đáng lo hơn là việc thiết lập luật pháp trên Internet là rất khó khăn. Vì vậy các thông tin trên mạng cần phải được bảo mật, đó cũng chính là vai trò của công nghệ mã hóa.
Từ xưa, công nghệ mã hóa vẫn thường được sử dụng để giấu thông điệp đối với các đối tượng sử dụng nhất định. Ngày nay, chức năng này còn hữu ích hơn rất nhiều trong môi trường giao tiếp qua mạng với hạ tầng cấu trúc không thể đảm bảo độ tin cậy và tính bảo mật. Hiện nay, công nghệ mã hóa không chỉ được dùng để bảo vệ dữ liệu mà còn để đảm bảo tính toàn vẹn và xác thực của chúng. Do đó triển khai công nghệ mã hóa trở thành một trong những xu hướng bảo mật năm 2011
IV.3.Thực trạng đối với các dữ liệu lưu trong điện thoại di động hiện nay.
Việc bùng nổ thiết bị di động trong doanh nghiệp không chỉ đồng nghĩa với việc các tổ chức sẽ phải đối mặt với nhiều thách thức hơn trong việc giữ cho các thiết bị này và dữ liệu nhạy cảm lưu trong chúng được an toàn và dễ dàng truy xuất, mà họ cần phải tuân thủ nhiều quy định về tính riêng tư bảo vệ dữ liệu khác nhau.Mặc dù đã có quy định nhưng nhiều tổ chức doanh nghiệp hiện nay vẫn không công khai thông tin khi thiết bị di động chứa dữ liệu nhạy cảm bị mất cắp, như họ từng thực hiện với máy tính xách tay. Thực tế, các nhân viên không phải lúc nào cũng báo cáo với công ty về việc họ đánh mất những thiết bị đó.
Tội phạm công nghệ cao gia tăng trong thời khủng hoảng không phải là đặc thù của riêng Việt Nam mà của nhiều nước trên thế giới. Theo ước tính của McAfee trong năm 2008, các doanh nghiệp trên toàn thế giới đã thiệt hại hơn 1 nghìn tỷ USD do các vụ mất cắp sở hữu trí tuệ và việc khắc phục thiệt hại do mất an toàn thông tin gây ra. McAfee cũng đưa ra dự báo sự suy yếu của kinh tế thế giới sẽ làm gia tăng các vụ mất cắp dữ liệu trong năm 2009. Đích nhắm của tội phạm công nghệ cao thường nằm trong lĩnh vực tài chính, ngân hàng, thanh toán trực tuyến với mục tiêu là kiếm tiền bất hợp pháp.
Trên thị trường giải pháp thanh toán qua mạng viễn thông hiện nay, vấn đề an toàn và bảo mật được nhiều dịch vụ thanh toán sử dụng như thuật toán khóa bí mật (private key) để mã hóa nội dung tin nhắn. Để dùng thuật toán này, mã bí mật buộc phải đặt trên thiết bị di động của khách hàng. Đây là khe hở có thể khiến mật khẩu của khách hàng bị đánh cắp hoặc xảy ra tình trạng gian lận thương mại. Nhiều dịch vụ sử dụng cơ chế sinh số ngẫu nhiên thay cho cơ chế mã hóa dữ liệu gửi nhận nên cũng có khá nhiều rủi ro trong việc đảm bảo an toàn dữ liệu. Ngoài ra, một số giải pháp ứng dụng cài trên thiết bị di động dùng
Các nhà nghiên cứu đang có kế hoạch trình bày cách bẻ khóa mã hóa bảo vệ thông tin được gửi qua GPRS. GPRS thường được sử dụng để gửi dữ liệu đến và đi từ các thiết bị di động, và từ các thiết bị khác như đồng hồ thông minh. Hành vi vi phạm này cho phép có thể nghe lén thông qua các truyền thông dữ liệu như e-mail, tin nhắn tức thời, và trình duyệt Web trên điện thoại thông minh, cũng như cập nhật từ hệ thống tự động. Trong quá khứ, các nhà nghiên cứu bảo mật đã không nghiên cứu nhiều về các tiêu chuẩn GPRS. Nhưng kể từ khi ngày càng có nhiều thiết bị sử dụng GPRS thì các nguy cơ rủi ro bị gây ra bởi công nghệ an ninh kém phát triển đang ngày càng tăng. Với GPRS gặp phảo một số vấn đề các quy tắc xác thực lỏng lẻo có thể cho phép kẻ tấn công thiết lập một trạm gốc di động giả và nghe trộm các thông tin được truyền bởi người dùng. Ở một số nước, GPRS không được mã hóa hoàn toàn. Khi chúng được mã hóa thì các thuật toán mã hóa thường yếu và có thể bị hỏng hoặc có thể giải mã với các phím tương đối ngắn, dễ đoán.
IV.4. Các biện pháp ngăn chặn.
a. Hệ thống pháp luật chặt chẽ
Đối với việc không tuân thủ các quy định về tính riêng tư và bảo mật trong dữ liệu. Trong năm 2011, Symantec kỳ vọng rằng các nhà làm luật sẽ giải quyết triệt để tình trạng này, và nó giúp thúc đẩy các doanh nghiệp triển khai công nghệ mã hóa dữ liệu, đặc biệt là cho các thiết bị di động. Các tổ chức doanh nghiệp cũng sẽ tiếp cận một cách chủ động hơn đối với vấn đề bảo vệ dữ liệu bằng việc triển khai công nghệ mã hóa nhằm tuân thủ các chuẩn quy định, tránh bị phạt nhiều tiền hay hủy hoại thương hiệu do rò rỉ dữ liệu gây ra.
b.Ứng dựng công nghệ mã hóa công khai RSA
Công nghệ RSA giúp bảo vệ dữ liệu một cách an toàn trên Internet cũng như xác thực để nhận dạng các đối tác trong thương mại điện tử. Công nghệ này được phát triển, áp dụng rộng rãi trong thương mại điện tử nhằm đảm bảo tính an toàn của dữ liệu. Nó còn được sử dụng để ngăn chặn các hacker ăn cắp dữ liệu bằng cách “nghe trộm” các cuộc gọi trên điện thoại di động và các kênh dữ liệu khác. Ra đời năm 1977 tại MIT, RSA được liệt vào một trong các giải thuật mã hóa bất đối xứng được dùng thông dụng nhất cho đến nay. RSA được đặt tên từ ba nhà khoa học phát minh ra nó: Ron Rivest, Adi Shamir, và Leonard Adleman. Thuật toán được dùng hàng ngày trong các giao dịch thương mại điện tử qua web browser (SSL), PGP, dùng cho chữ ký điện tử đảm bảo tính toàn vẹn của các thông điệp khi lưu chuyển trên Internet, phân phối & cấp phát các chìa khóa điện tử, v.v..
Thuật toán RSA có hai khóa: khóa công khai và khóa bí mật. Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai được
công bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa bí mật tương ứng. Nói cách khác, mọi người đều có thể mã hóa nhưng chỉ có người biết khóa cá nhân bí mật (cùng cặp key) mới có thể giải mã được.
* Ứng dụng RSA trong thực tế
Các giải pháp bảo mật ứng dụng trong FTL Ewallet
FTL Ewallet giải pháp thanh toán trực tiếp qua mạng viễn thông đang phổ biến tạ Việt Nam hiện nay sử dụng mã hóa công khai Public Key RSA 1024 (mã bất đối xứng).
Mã hóa kênh dữ liệu SMS
Với giải pháp FTL Ewallet của Công ty CP Công nghệ Tài chính Viễn thông FTL (FTL), vấn đề an toàn và bảo mật được đặt lên hàng đầu, mang lại độ tin tưởng cao về tính an toàn cho ngân hàng cũng như cho người sử dụng. Giải pháp sử dụng mã hóa công khai Public Key RSA 1024 (mã hóa bất đối xứng) đảm bảo tất cả các tin nhắn rời khỏi điện thoại của KH được mã hóa đảm bảo nội dung tin nhắn không bị lộ hay thay đổi trên đường truyền.
Với mã hóa RSA 1024 bit, giải pháp FTL Ewallet sẽ mang lại độ an toàn và bảo mật cao cho khách hàng khi sử dụng hệ thống. Tin nhắn từ Ewallet Client được mã hóa toàn bộ bằng Public Key trước khi gửi lên hệ thống xử lý giao dịch. Đây cũng là điểm khác biệt so với các chương trình Mobile Banking hiện nay tại Việt Nam chỉ sử dụng mã hóa đối xứng và có độ lớn mã hóa nhỏ (128 bit), nếu tin nhắn bị bắt trên đường truyền thì thời gian giải mã được mật khẩu trong tin nhắn là rất nhỏ.
Ngoài ra, các yêu cầu như bảo mật dữ liệu khách hàng, bảo mật dữ liệu giao dịch và xác thực người sử dụng luôn phải được đảm bảo an toàn. Tham gia vào quá trình giao dịch có khách hàng, quản trị viên, giao dịch viên, kiểm soát viên. Hệ thống cũng kết nối với nhiều hệ thống như SMSC, bank gateway, payment gateway. Vì thế, nguy cơ về bảo mật, lộ mật khẩu, PIN của người sử dụng, dữ liệu khi đi qua SMSC, paygate, bank gate bị sửa đổi hoặc bị gửi lại do vô tình hay cố ý và các gian lận trong giao dịch có thể rất dễ xảy ra, dễ bị làm giả và lợi dụng. Để đảm bảo nhiều rủi ro về bảo mật, hệ thống FTL Ewallet sử dụng các phương pháp như bảo mật mật khẩu người sử dung (NSD), phân quyền sử dụng và theo dõi hoạt động, mã hóa SMS, lọc bỏ SMS trùng, sử dụng SSL trong kết nối giữa các hệ thống thông tin, mã hóa dữ liệu cấu hình và nhận dạng gian lận.
Sử dụng bảo mật mật khẩu NSD, phương pháp sẽ hạn chế mật khẩu yếu, mật khẩu phải có chứa các ký tự đặc biệt (chữ hoa, chữ thường, chữ số), mật khẩu không được trùng với 5 mật khẩu gần đây. Khi mã hóa một chiều mật khẩu của NSD khi lưu vào CSDL, giới hạn thời gian hiệu lực của mật khẩu (3 tháng) và sẽ tạm khóa tài khoản nếu người sử dụng nhập sai mật khẩu 5 lần liên tiếp. Tất cả các tham số bảo mật trên đều có thể cấu hình được.
Vấn đề bản tin trùng SMS
Hệ thống xử lý giao dịch của FTL Ewallet có có chế loại bỏ tin SMS trùng. Trong nhiều trường hợp do vô tình hay cố ý, SMSC có thể gửi lại tin nhắn từ NSD. Do vậy, khi tạo SMS gửi đi, Ewallet client sẽ gửi kèm giờ hiện tại trên điện thoại. Hệ thống Ewallet sẽ chỉ chấp nhận tin nhắn có giờ SMS lớn hơn giờ SMS của tin cuối cùng mà hệ thống nhận được. Điều này đảm bảo các tin được Ewallet xử lý là duy nhất.
Kết nối giữa các hệ thống thông tin trong Ewallet
Để mã hóa SSL với các kết nối giữa các hệ thống thông tin thì trong mỗi phiên giao dịch, Ewallet và hệ thống liên quan sẽ tạo cặp khóa RSA 2048 với key ngẫu nhiên làm khóa giao dịch. Mọi thông tin trao đổi sẽ được mã hóa với khóa này. Điều này đảm bảo dữ liệu không bị lộ hay thay đổi (với key ngẫu nhiên ngoài hai hệ thống giao tiếp, không ai có thể giải mã được tin)
An toàn dữ liệu khách hàng
Bên cạnh đó, FTL Ewallet có hệ thống mã hóa dữ liệu cấu hình đảm bảo an toàn thông tin hệ thống. Các file dữ liệu cấu hình thường lưu các dữ liệu nhạy cảm như user/password, địa chỉ IP, Port, v.v. kết nối đến CSDL và các hệ thống khác. Các file này sẽ được mã hóa Triple – DES, giảm thiểu việc rò rỉ thông tin.
Nhận dạng gian lận
Với hệ thống nhận dạng gian lận, Ewallet cung cấp báo cáo nhận dạng gian lận theo các tiêu chí như giá trị giao dịch lớn bất thường, số lượng giao dịch nhiều bất thường. Điều này giúp người sử dụng sớm phát hiện các giao dịch nghi ngờ gian lận trong tài khoản và kịp thời có biện pháp ngăn chặn phù hợp.
Quản trị hệ thống nghiệp vụ
FTL Ewallet có hệ thống Provisioning để thực hiện nghiệp vụ Mobile Banking như đăng ký khách hàng, đặt lại PIN/mật khẩu, đóng mở tại khoản, đặt lại hạn mức, chuyển/nộp tiền tại quầy. Hệ thống này có phân quyền cho NSD và nhóm người NSD, theo dõi thay đổi (logging), theo dõi truy cập (access log) giúp quản trị hệ thống nghiệp vụ an toàn.
Các biện pháp bảo mật trên thỏa mãn hầu hết các yêu cầu khắt khe về an toàn bảo mật của Ngân hàng. Cũng chính vì lý do này mà Tien Phong Bank và Ngân hàng Quốc tế Việt Nam (VIB) đã chấp nhận giải pháp của FTL và sẽ triển khai dịch vụ tới khách hàng của mình trong thời gian tới. An toàn bảo mật trong hệ thống ngân hàng và thương mại điện tử vẫn còn nhiều vấn đề phải bàn, FTL không ngừng cập nhật công nghệ giải pháp nhằm đáp ứng các yêu bảo mật mới.
c. Ứng dụng giao thức SSL.
SSL (Secure Socket Layer) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet
Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgammal và ngày nay đã trở thành chuẩn bảo mật thực hành trên mạng Internet. Phiên bản SSL hiện nay là 3.0 và vẫn đang tiếp tục được bổ sung và hoàn thiện. Tương tự như SSL, một giao thức khác có tên là PCT - Private Communication Technology được đề xướng bởi Microsoft hiện nay cũng được sử dụng rộng rãi trong các mạng máy tính chạy trên hệ điều hành Windows NT. Ngoài ra, một chuẩn của IETF (Internet Engineering Task Force) có tên là TLS (Transport Layer Security) dựa trên SSL cũng được hình thành và xuất bản dưới khuôn khổ nghiên cứu của IETF Internet Draft được tích hợp và hỗ trợ trong sản phẩm của Netscape.
Giao thức SSL làm việc như thế nào?
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt khách (browsers), do đó được sử