FOSSBYTES TECH SIMPLIFIED LOGO

security-is-Pain Ghi chú nhanh: Bảo mật kỹ thuật số luôn là một chủ đề nóng, nhưng tốc độ phát triển của nó đang tăng nhanh. Để thực hiện bảo mật, bạn cần hiểu về bảo mật. Nhưng để thực sự hiểu nó, bạn cần bắt đầu với các nguyên tắc cơ bản – Quyền riêng tư, Xác thực, Tính toàn vẹn và Không từ chối.

Sinh thái là một sự đánh đổi, không thể phủ nhận điều đó. Bảo mật làm cho mọi thứ chậm hơn, phức tạp hơn, kém thuận tiện hơn và đôi khi khó hiểu. Đó là lý do tại sao họ nói bảo mật là một nỗi đau, nhưng chính xác nó có nghĩa là gì? Từ viết tắt PAIN được sử dụng cho bốn thành phần bảo mật, Quyền riêng tư, Xác thực, Tính toàn vẹn và Không thoái thác.

Riêng tư

Tất cả chúng ta đều biết và hiểu quyền riêng tư là gì. Nó bảo vệ thông tin của bạn khỏi những con mắt dòm ngó. Nhưng nó còn đi xa hơn một chút trong thế giới bảo mật kỹ thuật số. Quyền riêng tư có thể có nghĩa là ẩn danh trong một thế giới cố gắng theo dõi mọi thứ bạn làm. Mặc dù mỗi ứng dụng có một yêu cầu khác nhau về quyền riêng tư, nhưng có một chủ đề chung – mã hóa. Mã hóa đã tồn tại hơn hai nghìn năm. Nó đã được sử dụng trong hầu hết các cuộc chiến tranh lớn trong vài thế kỷ qua. Đó rõ ràng là một khía cạnh bảo mật rất quan trọng. Vì vậy, những gì bạn nên tìm kiếm trong một bộ mã hóa?

  • Các thuật toán được đánh giá ngang hàng
  • Phần mềm mã nguồn mở
  • Các giao thức Mã nguồn mở hoặc Tiêu chuẩn Mở

Các thuật toán được đánh giá ngang hàng đã được kiểm tra toán học bởi các nhà phân tích mật mã để tìm ra điểm yếu và lợi ích. Đây là điều bắt buộc vì có thể tồn tại một cửa hậu hoặc có thể có một cuộc tấn công toán học nào đó mà người viết mật mã không biết khi họ thiết kế thuật toán. Bạn muốn phần mềm là mã nguồn mở để nó có thể được kiểm tra và cập nhật để giải quyết bất kỳ lỗi hoặc mối quan tâm bảo mật nào. Và cuối cùng, bạn muốn các giao thức của mình là mã nguồn mở hoặc dựa trên các tiêu chuẩn mở vì những lý do tương tự – chúng được kiểm toán và kiểm tra liên tục vì nhiều người dựa vào chúng.

Sự đánh đổi với mã hóa là mã hóa mạnh cần thời gian để tính toán, có nghĩa là có thêm độ trễ trước khi dữ liệu sẵn sàng để truyền hoặc lưu trữ.

Xác thực

Xác thực là quá trình xác định rằng bạn là chính mình, giống như bao nhiêu đồ sưu tầm đi kèm với giấy chứng nhận tính xác thực, để được bảo mật, bạn phải chứng minh danh tính của mình. Việc xác thực có thể khó khăn, đặc biệt là khi hai bên không tin tưởng lẫn nhau, để bắt đầu. Chúng tôi thường xác thực bằng mật khẩu ngoài tên người dùng của chúng tôi, mật khẩu của bạn là thứ chứng minh tính xác thực của bạn. Nhưng mật khẩu có thể bị đoán hoặc bẻ khóa. Đây là lý do tại sao điều quan trọng là phải có mật khẩu mạnh, hoặc tốt hơn là xác thực đa yếu tố. Xác thực đa yếu tố đơn giản hơn nhiều so với âm thanh. Nó chỉ đơn giản có nghĩa là thay vì dựa vào mật khẩu làm tiêu chí xác thực đơn lẻ, bạn có một tiêu chí bổ sung như mã thông báo kỹ thuật số hoặc fob tạo ra mã số để xác thực. Email thường được sử dụng làm xác thực phụ khi cần đặt lại mật khẩu, nhưng đây chỉ là biện pháp nửa vời. Nhiều dịch vụ đã chọn sử dụng điện thoại di động như một phương thức xác thực khác. Mặc dù điều này là an toàn và thực tế trên lý thuyết, nó thực sự không an toàn do các lỗ hổng giao thức SMS. Đó là một ví dụ tuyệt vời.

Vì vậy, tại sao chúng ta không chỉ có nửa tá yếu tố xác thực cho tất cả các tài khoản của mình? Chà, đó là vì an ninh là một vấn đề. Hãy tưởng tượng bạn phải quản lý tất cả các yếu tố khác nhau đó. Nó sẽ trở nên khá phiền toái.

Chính trực

Một phần lớn thông tin liên lạc an toàn biết rằng có điều gì đó không bị thay đổi bởi kẻ tấn công trước khi bạn nhận được. Điều đó có nghĩa là bạn muốn xác định xem thông tin có được giữ nguyên vẹn hay không. Bạn nên luôn cho rằng một kênh liên lạc là không an toàn cho đến khi bạn chứng minh được nó là an toàn, và thậm chí sau đó, rất khó để phát hiện ra khi kẻ tấn công đã có được bất kỳ quyền truy cập nào vào một kênh. Mặc dù kẻ tấn công có thể không nhìn thấy tất cả các thông tin liên lạc qua một kênh, nhưng chúng vẫn có thể cố gắng thay đổi dữ liệu trước khi nó được đưa vào mạng. Đây được gọi là một cuộc tấn công “người ở giữa”. Bằng cách triển khai phương pháp xác minh tính toàn vẹn của dữ liệu, bạn có thể đảm bảo rằng mọi thông tin bị thay đổi đều bị loại bỏ. Việc kiểm tra tính toàn vẹn này thường được thực hiện bằng cách sử dụng hàm băm. Thông điệp gốc được băm và sau đó mã băm được mã hóa bằng khóa riêng. Bằng cách này, ngay cả khi kẻ tấn công chặn tin nhắn và ngay cả khi họ có khóa công khai, họ không thể mã hóa băm (dự kiến ​​sẽ được mã hóa) theo cách mà khi được giải mã, nó sẽ bằng với băm của tin nhắn đã thay đổi. Đây là một cách rất hiệu quả để đảm bảo tính toàn vẹn của dữ liệu, ngay cả khi các thuật toán băm kém hơn được sử dụng, như MD5, vì dù sao thì băm cũng luôn được mã hóa.

Nếu toàn bộ sự toàn vẹn này đơn giản như vậy, tại sao tất cả chúng ta không sử dụng nó, và nó cũng không phải là một phương pháp xác thực tốt sao? Tính toàn vẹn của dữ liệu rất đơn giản để xác định với hàm băm nhưng bạn cũng phải xác định tính hợp lệ của hàm băm, vì vậy bạn có thể băm hàm băm, nhưng sau đó bạn cũng phải xác minh giá trị của hàm băm. Khó hiểu đúng không? Thay vào đó, chúng tôi sử dụng mã hóa để mã hóa băm nên khi được giải mã bằng khóa sai hoặc mã hóa độc hại bằng khóa sai, nó sẽ không khớp và chúng tôi biết nó đã bị thay đổi, hoặc có thể chỉ bị hỏng, nhưng điều quan trọng là phải biết. Nếu mã hóa khóa công khai (hoặc mã hóa bất đối xứng) là tuyệt vời như vậy, tại sao mọi người không sử dụng nó? Chà, vì nó yêu cầu cơ sở hạ tầng, cái gọi là Cơ sở hạ tầng khóa công khai (PKI), và PKI dẫn chúng ta đến ngay trụ cột bảo mật tiếp theo.

Không bác bỏ

Trong một môi trường được bảo mật, mọi người đều đã xác thực có nghĩa là mọi người đều có thể được xác định. Tất cả chúng ta đều biết rằng chúng ta không thể luôn luôn tin tưởng những người trong bức tường của chúng ta. Vì vậy, ngay cả với một hệ thống an toàn, chúng tôi có thể có một kẻ tấn công trong số những người dùng có thể xác thực và tham gia vào các kênh an toàn. Đó là một suy nghĩ khá đáng sợ. Thay vì để cho bất kỳ ai chỉ phá hoại hệ thống mà không có bất kỳ hậu quả nào chỉ vì họ đã xác thực, chúng tôi sử dụng tính năng không từ chối. Không từ chối về mặt khái niệm là câu chuyện của nhận dạng và xác thực. Đó là khả năng xác định rằng ai đó đã làm điều gì đó, ngay cả khi họ tuyên bố rằng họ không làm, và hơn nữa, loại bỏ khả năng đó là người khác. Như Sherlock Holmes đã nói, “khi bạn đã loại bỏ điều không thể, bất cứ điều gì còn lại, tuy nhiên không thể xảy ra, phải là sự thật. ” Làm thế nào để chúng tôi xác định rằng đó không thể là ai khác? Cũng giống như cách chúng tôi xác định tính toàn vẹn của dữ liệu, bằng cách sử dụng Cơ sở hạ tầng khóa công khai. Bằng cách thực thi việc sử dụng PKI để thực hiện một số nhiệm vụ như tác vụ quản trị, xử lý thông tin bí mật hoặc truyền đạt hướng dẫn, bạn có thể đảm bảo rằng mọi hành động đều có thể liên quan đến người đã thực hiện nó. Bây giờ, rất có thể ai đó có thể đánh cắp khóa cá nhân của người khác do sự bất cẩn của ai đó, vì vậy ngoài khóa cần có yếu tố thứ hai, thường là mật khẩu giải mã khóa (nghĩa là khóa riêng của nó vô dụng). Tất cả những điều này đảm bảo rằng trong một hệ thống an toàn không có sự ẩn danh và không có sự ẩn danh, luôn phải có nhân chứng cho tội ác.

Nếu Cơ sở hạ tầng khóa công khai tuyệt vời như vậy, tại sao mọi tổ chức không sử dụng nó? Bởi vì nó chỉ là một thứ khác để quản lý.

PKI là một giải pháp duy nhất có thể hỗ trợ trong tất cả các khía cạnh bảo mật. Chứng chỉ PKI thực chất chỉ là một tệp văn bản với một lượng lớn thông tin. Các nội dung tiêu biểu của một chứng chỉ PKI tiêu chuẩn X.509 như sau:

  • Chứng chỉ
    • Số phiên bản – Số này tăng lên mỗi khi chứng chỉ hết hạn (hoặc bị thu hồi) và được gia hạn.
    • Số sê-ri – Đây là số nhận dạng duy nhất cho chứng chỉ trên hệ thống đã tạo ra nó, còn được gọi là tổ chức phát hành.
    • ID thuật toán chữ ký
    • Tên người phát hành – Đây là hệ thống đã tạo chứng chỉ, còn được gọi là Tổ chức phát hành chứng chỉ.
    • Thời gian hiệu lực
      • Not Before – Không thể sử dụng vé trước khi vé trước đó đã hết hạn (hoặc ít nhất là không nên)
      • Không phải Sau – Một vé hết hạn vì lý do bảo mật, giống như khi mật khẩu hết hạn.
    • Tên chủ đề
    • Thông tin khóa công khai chủ đề
      • Thuật toán khóa công khai – Đây có thể là RSA hoặc Diffie-Hellman.
      • Khóa công khai chủ đề – Đây là chính khóa.
    • Số nhận dạng duy nhất của nhà phát hành (tùy chọn)
    • Số nhận dạng duy nhất của chủ đề (tùy chọn)
    • Tiện ích mở rộng (tùy chọn)
  • Thuật toán chữ ký chứng chỉ – Thuật toán được sử dụng khi ký.
  • Chữ ký chứng chỉ – Đây là chữ ký được thực hiện bởi Người phát hành cho biết tính toàn vẹn của nó.

Hãy nhớ xem liên kết phía trên danh sách này đến trang Wiki cho các chứng chỉ tiêu chuẩn X.509, đây là nơi tôi lấy danh sách đầy đủ này và còn có nhiều thông tin hơn nữa.

Rõ ràng, có nhiều thứ để bảo mật hơn là chỉ sử dụng PKI, chẳng hạn như đảm bảo rằng bạn đang sử dụng phần mềm cập nhật với các bản vá bảo mật, chống phần mềm độc hại, v.v. Tuy nhiên, đối với khía cạnh con người của bảo mật, vốn thường là điểm yếu nhất trong bảo mật của bất kỳ tổ chức nào, tất cả bốn trụ cột PAINful đều có thể được xây dựng bằng cách sử dụng PKI.

This post is also available in: Tiếng Việt Indonesian

LEAVE A REPLY

Please enter your comment!
Please enter your name here