giải pháp bảo mật ở các tầng khác nhau
12.4 Khả năng t−ơng tá c Chìa khoá đ−a tới thành công của ALS
Khả năng t−ơng tác gắn chặt với sự thành công của bất kỳ giao thức nào trên Internet. Sự tôn trọng triệt để các chuẩn quyết định khả năng t−ơng tác. Mặc dù các giao thức ALS đề cập trong ch−ơng này bao trùm ba lĩnh vực khác biệt, nh−ng tất cả chúng đều dựa vào một tập các chuẩn chung và cung cấp các dịch vụ an toàn nh− nhau. Phần này giới thiệu một số phần tử chung này. ở đây không phải chỉ kể đến tất cả các phần tử chung, mà bao gồm cả các phần tử đ−ợc tìm thấy trong mọi cài đặt ALS bảo đảm có sự t−ơng đồng thích đáng.
Mã hoá là thành phần chủ yếu của tất cả các giao thức an toàn hiện đại. Tuy nhiên, trong quá khứ quản lý khoá mã là một trở ngại chính cho việc sử dụng nó trong các môi tr−ờng mở nh− Internet. Với sự ra đời các chuẩn chứng nhận số và quản lý khoá công khai thì trở ngại này đã đ−ợc v−ợt qua phần lớn. Các chuẩn nh− cấu trúc hạ tầng khoá công khai Internet X.509 (pkix) và cấu trúc hạ tầng khoá công khai đơn giản (spki) cung cấp các cơ chế cần thiết để thực thi, quản lý và phê chuẩn các khoá mã qua nhiều vùng và nền hệ thống. Tất cả các giao thức đề cập trong ch−ơng này đều hỗ trợ sử dụng cấu trúc hạ tầng khoá công khai.
Các dịch vụ an toàn chuẩn - Bảo vệ thông báo tối đa
Tất cả các giao thức ALS nói đến trong ch−ơng này đều cung cấp bốn dịch vụ an toàn chuẩn sau:
• Bảo mật - Đảm bảo rằng chỉ ng−ời nhận định tr−ớc mới có thể đọc đ−ợc
những nội dung thông tin gửi cho họ.
• Toàn vẹn - Đảm bảo rằng thông tin nhận đ−ợc hoàn toàn giống thông tin đã
đ−ợc gửi.
• Xác thực - Đảm bảo rằng ng−ời gửi thông báo hoặc truyền đúng là ng−ời mà
họ xác nhận đ−ợc.
• Không từ chối - Chứng minh rằng một thông báo do ng−ời khởi tạo nó đã
gửi đi ngay cả khi ng−ời này không chịu thừa nhận nó.
Mỗi dịch vụ này dựa vào một dạng mã hoá theo chức năng tiện ích của nó. Mặc dầu các cài đặt dịch vụ có thể khác nhau, nh−ng tất cả đều sử dụng một tập thuật toán khá chuẩn.
Các thuật toán đã đ−ợc thử nghiệm và đúng đắn
Sức mạnh của một thuật toán mã hoá có thể đ−ợc đo bằng sự tr−ờng tồn của nó. Các thuật toán tốt tiếp tục chứng tỏ mức độ mã hoá cao sau nhiều năm phân tích và tấn công. Các giao thức ALS đề cập ở đây đáp ứng ba kiểu mã hoá - đối xứng, không đối xứng và hàm băm - dùng các thuật toán đã đ−ợc kiểm chứng qua thời gian.
Mã đối xứng (còn gọi là khoá bí mật) chủ yếu dùng cho các chức năng bảo
mật vì nó có mức độ mã hoá cao và có thể xử lý nhanh chóng một l−ợng dữ liệu lớn. Trong các cài đặt ALS, DES là thuật toán đối xứng đ−ợc dùng phổ biến nhất.
Mã không đối xứng hay mã khoá công khai đ−ợc dùng phổ biến nhất trong các ứng
dụng ALS để bảo đảm tính bảo mật trong thời gian khởi đầu hoặc thiết lập một giao dịch. Các khoá công khai và các xác nhận số đ−ợc dùng để xác thực các nhóm tham gia với một nhóm khác và trao đổi các khoá đối xứng dùng cho thời gian còn lại của giao dịch. RSA là thuật toán không đối xứng đ−ợc dùng phổ biến nhất trong các cài đặt ALS.
Kỹ thuật băm mật mã đ−ợc dùng để đảm bảo tính toàn vẹn và xác thực trong
các cài đặt ALS. Khi sử dụng riêng rẽ, xác thực xác nhận ng−ời gửi và tính toàn vẹn của thông báo, nh−ng khi dùng chúng kết hợp với nhau đảm bảo chứng minh rằng thông báo đã không bị giả mạo và vì thế không thể bị từ chối (không thừa nhận). Ba hàm băm đ−ợc dùng phổ biến nhất trong các cài đặt ALS là MD2, MD5 và SHA. Bổ sung vào tập các thuật toán chung, các hệ thống muốn hoạt động trong một môi tr−ờng mở phải có khả năng v−ợt qua và công nhận tập các tham số an toàn chung. Phần tiếp theo giới thiệu một số chuẩn dùng để định nghĩa và phê chuẩn các tham số này.
Để trao đổi thông tin hiệu quả các ứng dụng phải thoả thuận trên cơ sở một định dạng chung đối với thông tin đó. Nếu các dịch vụ an toàn là đáng tin cậy thì chúng đòi hỏi tất cả các nhóm thực hiện chức năng theo một sự nhất trí. Các tham số truyền thông phải đ−ợc thiết lập, các dịch vụ an toàn, các mô hình và thuật toán đ−ợc thoả thuận tr−ớc, các khoá mật mã đ−ợc trao đổi và phê chuẩn. Để thuận tiện cho các tiến trình này, các giao thức ALS nói đến ở đây đáp ứng các chuẩn định dạng sau:
• X.509 - Chuẩn X.509 định nghĩa dạng chứng nhận số mà những ng−ời có thẩm quyền xác nhận dùng để phê chuẩn các khoá mã công khai. • PKCS - Chuẩn mật mã khoá công khai định nghĩa các tham số cơ bản
(các định danh đối t−ợng) dùng để thực hiện các phép biến đổi mật mã và phê chuẩn dữ liệu khoá.
• CMS (Cryptographic Message Syntax)- Cú pháp thông báo mật mã định nghĩa các định dạng truyền và các kiểu nội dung mã hoá mà các dịch vụ an toàn sử dụng. CMS định nghĩa sáu kiểu mã hoá gồm từ không mã hoá tới gồm cả mã hoá và ký. Chúng là: Data, signedData, envelopedData, signedAndEnvelopedData, digestData, encryptedData.
• MOSS - Các dịch vụ an toàn đối t−ợng MIME định nghĩa hai kiểu nội dung mã hoá bổ sung cho các đối t−ợng multipart MIME có thể đ−ợc dùng đơn lẻ hoặc phối hợp với nhau. Chúng là: multipart-signed và multipart-encrypted.
Mã hoá cần thiết cho sự bảo đảm tính bí mật và toàn vẹn giao dịch trên các mạng mở, và kiến trúc Public Key/Certification Authority cung cấp cấu trúc hạ tầng cần thiết để quản lý việc phân phối và phê chuẩn các khoá mã. Hiện nay các cơ chế an toàn tại tất cả các mức có một biện pháp chuẩn để khởi đầu các giao dịch an toàn, vì thế không cần có các giải pháp riêng khi thực hiện các giao dịch đa nhóm, đa cổng hay quốc tế. Giao thức giao dịch thẻ tín dụng SET mới là một ví dụ.