Bảo vệ hạ tầng truyền thông với PKI
Nh
ữngnh ng mới trong phiên bn Windows Server 2003 và Windows XP
giúp cho việc truyền các d liệu nhạy cm tng qua PKI trở nên ddàng và
bảo mật hơn bao giờ hết.
Trong một vàim li đây, hạ tng truyn tng IT càng ny càng được m
rộng khi người sử dng dựa trên nn tảng này để truyn tng và giao dch
với các đồng nghiệp, các đối tác kinh doanhng như việc khách hàng dùng
email tn các mng công cng. Hầu hết các thông tin kinh doanh nhạy cảm và
quan trng được lưu trữ và trao đổi dưới hình thức điện tử. Sự thay đổi trong
các hoạt động truyền tng doanh nghiệp này đồng nghĩa với việc bạn phải có
biện pp bảo vệ tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo,
can thip, tn ng, phá hoại hoặc vô tình tiết lộc thông tin đó. Cấu trúc hạ
tầng mã khoá công cng (PKI - Public Key Infrastructure - hay còn gọi là H
tầng mã khbo mật công cng hoặc Hạ tầng mã khng khai) cùng c
tiêu chuẩn và các công nghng dụng ca nó có thể được coi là một giải pháp
tổng hợp độc lập mà bn có thể sử dụng để giải quyết vấn đề này.
PKI bản chất là một hệ thống công nghệ vừa mangnh tiêu chuẩn, vừa mang
tính ứng dụng được sử dụng đkhi tạo, lưu trvà qun lý c chng thực
điện t(digital certificate) cũng nhưc mã khng cộng và cá nhân. Sáng
kiến PKI ra đời m 1995, khi mà các tchức ng nghiệp và các chính ph
xây dựng các tiêu chuẩn chung dựa tn phương pp mã hoá để hỗ trợ một hạ
tầng bảo mật trên mng Internet. Tại thời điểm đó, mục tiêu được đặt ra là xây
dựng một bộ tiêu chun bảo mật tổng hợp cùng các công c và thuyết cho
phép người sử dngng như các tổ chức (doanh nghiệp hoặc phi li nhuận)
có th tạo lp, lưu tr và trao đổi các thông tin mộtch an toàn trong phm vi
cá nn và công cng.
Tới nay, nhng nỗ lực hoàn thin PKI vẫn đang được đầu tư và tc đẩy. Và
để hiện thực hoá ý tưởng tuyệt vời này, các tiêu chun cn phải được nghiên
cứu phát trin ở các mức đkhác nhau bao gồm: mã hoá, truyn tng và liên
kết, c thc, cp pp và qun lý. Tuy nhiên, hầu hết các công nghệ hình
thành từ ý tưởng này đã tr nên chín mui và một số đã bướco giai đoạn
"lão hoá". Nhiu chuẩn bảo mật trên mạng Internet, chẳng hạn Secure Sockets
Layer/Transport Layer Security (SSL/
TLS) và Virtual Private Network (VPN),
chính là kết quả của ng kiến PKI. Một minh chng là thuật toán mã hbất
đối xứng đượcy dựng da trên phương pháp mã h giải mã thông tin s
dụng hai loại mã khoá: ng cộng và cá nn. Trong trưng hợp này, một
người sử dụng có thể mã hoá tài liu của mình với mã khoá mt sau đó
giải mã thông tin đó bằng chìa kh công cng. Nếu một văn bản có chứa các
dữ liệu nhạy cm và cn phi được truyền một cách bảo mật tới duy nhất một
cá nn, thông thường ngưi gửi mã hoá tài liu đó bằng mã khoá riêng
người nhận sẽ gii mã sử dụng mã kh công khai của người gửi. Mã khoá
công khai y có thđược gửi kèm theo tài liệu này hoặc có thể được gửi cho
người nhận trước đó.
Bởi sự tồn tại của khá nhiều thuật tn bt đối xứng,c chuẩn công cng tồn
tại và thường xuyên được nghiên cu ci tiến để phù hp các thuật toán đó. Có
một minh chứng kđơn giản: Nếu nhng người sử dụng làm việc các t
chức khác nhau và chỉ có thể truyền thông với nhau qua một mạng công cng,
chng hạn Internet, bạn sẽ cn phải y dngc tiêu chun ở từng bước khác
nhau. Trước tiên, bạn phải xác định phương thức các chứng thực được phát
hành. Một người nhận đư
ợc xác thực cần phải chấp nhận tính hợp lệ của chứng
thực đó và tin tưởng bộ phn thẩm quyền pt hành chng thực đó. Th hai,
các chun phải thiết lập phương thc các chng thực được truyền tng giữa
các ch thểơn vị hoặc bphận) khác nhau. Email và các dng truyn thông
khác đều dựa trên các tu chun công nghệ và thông thường các chuẩn này
không nhất thiết phải hỗ trợ PKI. Để hiện thực h kịch bản mà cng tôi vch
ra trên, bn cn phải có các quy tắc và tu chun hỗ trợ việcc chng thực
được phát hành bi các chủ thể thẩm quyn khác nhau thể trao đổi và
giao dch giữac tổ chc khác nhau. Thba, các tiêu chun phải định nghĩa
được các thuật tn có thể và phải bao gồm. Cuối cùng,c tiêu chun phải
chỉ ra được cách thức duy trì các hạ tng cấu trúc truyn thông. Bên cnh đó,
chúng cũng phải xây dng được danh sách người ng được cấp chứng thực v
à
danh ch những chng thực bị hubỏ. Hãy quyết định cách thức các thm
quyn cấp chứng thc khác nhau sẽ được truyền thông vi nhau và phương
pháp tái lp lại một chứng thực trong trường hợp xảy ra mấtt.
Sự chp nhận của người ng tăng theo thời gian
Quá trình nghiên cu và pt trin PKI là mt quá trìnhu dài và cùng v
ới nó,
mức độ chấp nhận của người dùng cũng tăng lên mt cách khá chậm chạp.
Cũng ging như vi nhiều tiêu chuẩn công cộng khác, tỷ lngười dùng chp
nhn sẽng lên ch khi các chuẩn đó trnên hn thin, chứng minh đư
ợc khả
năng thực sự của , và kh năng ng dụng và hin thực hcủa nó là kh thi
(cvề khía cnh chi p lẫn thực hiện). Windows XP Professional v
à Windows
Server 2003 đều được cải tiến hỗ trợ PKI. Bạn thể dùng một trong hai h
điều hành này để xây dựng một giải pháp PKI tng hợp. Mặc dù Windows
2000 phn bn dùng cho y ch và y trm có thể chấp nhận được môi
trường này song với nhng khả ng hn chế (xem thêm Phn Tài liu tham
kho).
Bất chấp việc bạn có nhận thc được hay kng, có nhiều khả ng bạn đã
phn o đó cu trúc PKI trong các hạ tng IT ca bạn. Nếu bạn có website s
dụng SSL/TLS, nếu bạn cho phép nhân viên của mình kết nối và làm vic
trong mng nội bsử dụng chuẩn VPN và Point To Point Tunneling Protocol
(PPTP), hoc nếu bạn đang dùng cácnhng mã hoá của IPSec, bạn thực tế
đang ứng dụng PKI. Cũng như vậy, nếu bạn sdụng Exchange Server và
Outlook có nghĩa là bạn đang dùng các mã chứng thực và các khoáng
cộng. Nếu thực s bạn đã dùng một hoặc một số trong nhng chuẩn kể trên,
việc cân nhắc sử dng một giải pháp PKI toàn diện sẽ trnên ddàng n.
PKI có thđảm bảo một cơ chế bảo mật và tổng hợp để lưu trvà chia sẻ các
tài sn trí tuệ của công ty bạn, cả trong và ngoài phm vi công ty. Tuy nhiên,
chi phí và/hoc sự phức tạp ca thểy ra những rào cản nhất định đối
với khả ng ứng dụng. Trước tiên, tôi s nêu ra nhng vấn đề phức tạp. Đa
phn c giao dịch truyền thông của doanh nghip với kch hàng, chính
quyn và các đối tác kc đều được diễn ra một cách điện tử. Nếu bạn nhận
thức được tất cả các kênh khác nhau trong các giao dịch đó, bạn là một trong
số ítc chuyên gia IT giỏi nhất. Một khi bạn mnh cửa đối với email, bạn
phải tha nhận rằng mọi thứ có thể gửi đi sẽ được gửi đi, không kể đó là giữa
các đối tác, trong nội bộ công ty hay thậm cvượt quaranh giới” công ty.
Một dụ trong sđó là một người nhận "bên ngI" có tên trong ng CC có
thnhn được một tài liu mật và gửi nó trên các kênh không an tn khác.
Khi bn có ý định giải quyết vấn đề này hoc các vấn đề khác tương tự, bạn
cần phải quyết định về mức đmở rộng củabiên giới" bảo mật, nhng tài
sn"bạn phải bảo v, và mức đbất hợp lý bạn sphải áp dng đối với những
người dùng.
Ngày nay, m
ột giải pháp an ninh toàn din cạnh tranh với PKI thực sự chưa
được tìm thy. T góc độ giải pháp công nghệ, điều này làm cho việc chọn lựa
trn đơn gin n. Nhiều hãng khác cũng cung cấp các giải pp PKI, song
nếu bạn đã từng đầu tư cho các công ngh của Microsoft trong doanh nghiệp
của mình, bn thể sẽ tn dụng được nhng lợi thế mà tập đoàn khng lnày
đã có được. Với những cải tiến lớn với PKI trong Windows XP Professional
(dành cho máy trạm) và Windows Server (dành cho máy chủ) Microsoft đ
giải pp thể giải quyết được các vấn đề cnh liên quan tới một cnh sách
bảo mật PKI. Nhữngnh ng này,ng kh năng quản lý và liên kết PKI, đã
được tích hợp vào h điều hành và các ứng dụng liên quan.
PKI cho pp bạn tạo ra một quan hệ tin cậy giữa các chứng thực của các t
chức khác nhau và gi
ải pp PKI của Windows Server 2003 cũng bao gồmnh
năng y. Nó giúp bn bắt đầu với một phạm vi quan hệ tin cy kng lớn và
cho pp bn mrộng phạm vi này trong tương lai.
Vch kế hoạch cho gii pháp của riêng bn
N
ếu bạn quyết định thiết kế một giải pp PKI, bạn cần phải vạch ra một kịch
bản toàn din về các nguy cơ bảo mật để c định những tài sn"nào cn được
bảo vệ và các biện pp bảo vệ hợp lý và phù hp nhất. Hãy vạch ra một danh
sách tt cả các tài sản giá trị đối với bọn tội phạm và c đối thcạnh tranh.
Chẳng hạn, như trong dụ tôi đã nêu ra phần trước liên quan ti thuật tn
hoá bất đối xứng, bạn có thể cấu hình Outlook để mã hoá tất cả c thông
điệp và tp đính kèm hoặc bn thể thiết lập chế đmã hoá nội dung các
email riêng rẽ trước khi bạn gửi chúng đi. Giải pháp sau có thể cho người d
ùng
biết được nhng vấn đề mà bn đang phải đối mặt còn giải pp đầu tiên lại
gây ra kh ng mã h mọi thứ. Nếu bạn gửi nhiu thông tin nhy cảm như
tệp đính kèm theo email trên Internet trong khi ý thức bảo mật ca các thành
viên doanh nghiệp ca bạn mức đhạn chế, tốt nhất là bn chọn gii pháp
hoá tất cả mọi lúc. Nếu người sử dng gửi một số tài liu quan trọng, bạn
có th giải mã thông tin trong từng trường hợp cụ thể. Bạn cần lưu ý r
ng thuật
toán mã h b ảnh hưởng bởi sức mnh của CPU. Hãy cân nhắc trước khi đưa
ra quyết định. Điều đó có nga là, bt c phương pp o bạn dùng,y xây
dựng một chính sách cụ thể để áp dng nó trong nội bộ doanh nghiệp. Hãy
công bmột danh sách các tài sn tương ứng cho từng nhân viên u ra
những "hành động" nào mà người nhân viên đó được áp dụng trênci sn
đó. Với mỗi công cứng dụng liên quan tới cácnh đng đó (chẳng hạn
Outlook đối vi email), hãy đưa ra những hướng dẫn cụ thđể đảm bảo khả
năng bảo mật cao nhất.
Vic phát hành các chứng thực đin t vi Windows Server 2003 là kđơn
giản và tính ng np danh sách tự động trong phiên bản hệ điu hành mới này
cho pp bn khởi tạo và pn phối các chứng thực nhân một cách tđộng
khi người dùng đăng nhp mà khôngy ra bất c sự cản trở nào với họ.
Mặc dù trong bài viết này, chúng tôi kngn tới vấn đề lợi ích thu được t
PKI, tuy nhiên, bn vẫn có thể tính toán được chi p dành cho dựa trên m
ột
số gi thiết là ng ty của bạn đang giao dịch điện tvà mức đgiao dịch ng
ày
càng tăng trong tương lai. Lấy dụ, nếu doanh nghip của bạn tập trung vào
việc giao dịch trên Internet và có ý định mrộng phạm vi sang cả các dịch vụ
trên Web, bạn cần phải hiểu rằng các chứng thực kỹ thuật số và quá trình
hoá một phần quan trọng của hạ tng dch vụ Web. Thậm cnếu bạn thể
tìm thấy một giải pp bảo mật nào khác với chi phí thấp hơn, các chuyên gia
khuyếno bạn hãy cân nhc lại bởi tất c các công nghquan trọng nhất, bao
gồm Internet, truyền tng vô tuyến, các thiết bị bảo mật sinh học và công
nghTh Tng minh (Smart Card), đều có thể quy về PKI.
Nh
ữngnh ng mới trong Windows Server 2003 và Windows XP chính là
những bước đầu tiên ứng dụng ở quy mô rộng rãi các chun công nghệ của
PKI. Windows Server 2003 tích hp một module mã hoá nn hoàn tn mới
có th thực hiện chuẩn FIPS (Federal Information Processing Standard) - một
thuật toán mã hoá cải tiến. Thông qua vic sử dng hệ thng dịch vụ thư mục
động (Active Directory - AD), bn thể điều chỉnh phạm vi ứng dụng PKI
đối với từng doanh nghiệp cụ thể. Windows Server 2003 và Windows XP
Professional h trợ quan hệ tin cy PKI liên kết giữa các doanh nghiệp kc
nhau gn đây, các sản phẩm của hãng Microsoft đã vượt qua chương trình
thử nghim cu tin cậy cấp liên bang. Cnh phMđã thiết lập chương trình
kiểm nghiệm này coi đó là một phương pháp đánh giá mức độ thích hợp về
hp tácng nghệ giữac tổ chức kc nhau. Chương trình y cung c
ấp một
tínhng kết hợp cần thiết cho việc kết nối giữa các tổ chức kc nhau mà
không dựa trên việc hsử dụng các hệ điều hành sn phẩm gì.
n cnh đó, sự tích hợp PKI vào các ứng dụng đầu cuối, chẳng hạn Outlook,
đặt các công cụ bo mật quan trọng vào tay người sử dụng đầu cuối. Sự tăng
cường tích hợp PKI vào Windows XP cho phép bn tn dụng tối đa những tính
năng tiên tiến về bảo mật, trong đó có Thẻ Thông minh (Smart Card) hoặc
thậm chí cả các thiết bị quét n tròng mắt. Điều này cũng giúp bạn thiết lập
H thng giải mã tp (Encrypting File System) và c tính năng mới của
Windows Update cho pp bn pn phi các phiên bn cập nhật chứng thc
gốc. Tất cả các đặcnh mới này chứng minh rằng tại sao đã đến thi điểm để
chúng ta bắt đầu lên kế hoạch và bắt tay triển khai PKI.
Đưa PKI o cuộc
PKI là công nghc thực đầu tiên hoàn thin nhất sử dng phương pháp
hoá dựa trên khoá bí mt và khng cộng. Tuy nhiên, PKI c
ũng bao gồm
cả việc ứng dng rộng rãi các dch vbảo mật khác, bao gồm dịch vụ dữ liệu
tin cy, thống nhất dữ liệu về tổng thể và qun lý mã khoá. Để có thhiểu đư
ợc