Nhng ch lnh mi trong chun mã hóa
nâng cao ca Intel (AES-NI)
TTrong bài này chúng tôi s gii thiu cho các bn tm quan trng ca
vic mã hóa và cùng nhau đi sâu nghiên cu Intel AES-NI.
Vi s ph biến ngày càng tăng ca các thiết b tính toán tt c các lĩnh
vc dù là nơi làm vic cũng như nhà đối vi mi người trong s chúng ta
cho thy nhu cu mã hóa ngày càng tr nên quan trng hơn bao gi hết.
Desktop, laptop, đin thoi thông minh, các PC “pad”, PDA, Blue-ray player
và nhiu thiết b khác na, tt c đều cn đến nhu cu này để có kh năng mã
hóa các thông tin nhy cm. Không có s mã hóa, mi th bn gi qua mng
(hoc thm chí lưu trên mt thiết b lưu tr ni b) cũng đều tim n s ri
ro, bt c ai cũng có th đọc nó bt c khi nào h mun. Dù s cho phép hay
s điu khin s truy cp có th cung cp mt s hình thc bo v nhưng khi
thc s quan tâm đến bo mt, mã hóa chc chn phi là mt phn quan
trng trong chiến dch bo mt đa lp ca bn. Bn có th cho rng mình
chng có gì cn phi giu giếm, nhưng cn biết mt s tht rng, thông tin
mà bn nghĩ s không có giá tr gì vi bt c ai có th s b li dng theo
nhiu cách đáng ngc nhiên. Vì vy, đặc bit trong thế gii doanh nghip
ngày nay, mã hóa cn phi được coi trng đặc bit ch không phi là mt
tùy chn không mang tính bt buc.
Tm quan trng ca mã hóa
Các kch bn nơi mã hóa s được s dng trong cuc sng hàng ngày ca
chúng ta:
Khi bn bt laptop và t động kết ni vi đim truy cp không dây
ca mình, bn chc chn s s dng mã hóa WPA và thut toán mã
hóa AES.
Khi kết ni vi các website an toàn để chia s thông tin hoc mua sn
phn trc tuyến, kết ni SSL là mt phiên mã hóa được thiết kế để bo
mt các thông tin cá nhân ca bn sao cho chúng không b chia s vi
phn còn li ca thế gii.
Khi laptop s dng BitLocker để mã hóa các thông tin trên đĩa, nếu b
mt, tt c các thông tin đó s không b công khai.
Khi thiết lp mt kết ni IPsec VPN hoc mt kết ni DirectAccess
da trên IPsec cho mng công ty, kết ni IPsec s được bo mt bng
mã hóa AES.
Còn có nhiu ví d khác, tuy nhiên rõ ràng rng, mã hóa và đặc bit là mã
hóa AES, là mt phn không th thiếu trong cuc sng s hóa ca chúng ta,
dù bn biết hay không biết.
Là mt qun tr viên mng, bn chc chc biết rng mã hóa là mt phn quan
trng trong kiến trúc back-end (phn dành cho qun tr) ca mình. Các
hacker s không quan tâm đến vic đánh sp toàn b mng ca bn ging
như cách mà chúng đã tng làm vi các khai thác trước kia. Ti sao? Nó là
vì s không có tin sinh ra cho các tn công mng din rng. Vi vic ngày
càng nhiu các hình pht cho hình thc ti phm, hu hết các k tn công
gi đây đều không làm vic này vi mc đích gii trí mà thay vì đó các
chúng thường là mt ch doanh nghip bt hp pháp, mun kiếm tin bt
chính. Mt cách mà chúng có th thc hin là tha hip các máy ch chính
và lng l đột nhp vào nó. Sau đó đánh cp thông tin có th bán được,
chng hn như cơ s d liu cá nhân công ty hoc các bí mt thương mi ca
công ty bn. Hacker thường không kiếm được gì vi mt máy ch đã “chết”,
và chúng cũng không th kiếm được gì nếu bn phát hin ra và ngăn chn
trước khi chúng có được nhng gì hn mun. Như vy, bn cn s dng đến
mã hóa trên back end như mt cơ chế bo v trong “phương sách cui cùng”
để ngăn chn k tn công tăng quyn truy cp vào các thông tin quan trng.
Mã hóa cũng là mt phn ca vic tuân th các hot động CNTT hàng ngày;
ví d, tt c nhng gì dưới đây đều coi mã hóa như mt phn trong các
chun ca h:
HIPAA (Health Insurance Portability and Accountability Act)
SOX (Sarbanes-Oxley)
PCI DSS (Payment Card Industry Data Security Standard)
AES: Mt chun mi
AES là mt chun mã hóa ca chính ph M hin hành và được s dng để
thay thế cho chun trước đó, triple DES, chun đã s dng mt khóa 56-bit.
AES cũng s dng các độ dài khóa khác nhau, đặc trưng bi AES-128,
AES-192 và AES-256. Ph thuc vào độ dài ca khóa mà có đến 14 vòng
biến đổi được yêu cu để to ra mt văn bn mã hóa cui cùng.
AES cũng có vài chế độ hot động, gm có trong đó:
electronic codebook (ECB)
cipher block chaining (CBC)
counter (CTR)
cipher feedback (CFB)
output feedback (OFB)
Cipher block chaining là chế độ được s dng nhiu nht vì nó cung cp mt
mc bo mt có th chp nhn được và không có kh năng b hng trước các
tn công thng kê.
Thách thc gia bo mt và hiu sut
Vn đề ln nht vi các phương pháp mã hóa nâng cao chng hn như AES
vi CBC là vic chúng đòi hi sc mnh x mc cao. Đặc bit vi
trường hp các máy ch, nhưng nó cũng có th là mt vn đề cho các h
thng máy khách bn rn, vì trên chúng thường được cài đặt các b x
kém sc mnh. Điu đó có nghĩa rng bn cn phi đưa ra la chn ca
mình gia vic có được mc bo mt tt nht và vic có được hiu sut tt
nht đối vi các h thng ca mình. Tình hung này có th tr nên khó gii
quyết trên phía máy ch đó các cách gii quyết chng hn như SSL
hoc IPsec offload card (encryption offload card) được s dng để gim
nhit cho b x lý và cho phép b x lý làm các công vic ngoài cài đặt
session và mã hóa s lượng ln.
Vn đề vi các th add-on là, chúng là mt ng dng độc lp và có hoc
không th làm vic, ph thuc vào nhng gì bn mun s dng chúng cho.
Nhng gì chúng ta thc s cn đây là mt gii pháp chung có th làm vic
trong tt c các kch bn mã hóa AES, mc đích là để bn không phi thc
hin bt c thđặc bit để offload công vic mã hóa t b x lý chính.
Nhng gì chúng ta cn là mt gii pháp “plug and play” được xây dng bên
trong h điu hành và bo mch ch.
Gii quyết vn đề vi Intel AES-NI
Nếu đồng vi vi nhng gì chúng tôi nêu trên thì có mt vài tin tt cho bn
– tp ch lnh Intel AES-NI mi, có trong các b vi x lý dòng Xeon5600
ca Intel, hi t đủ các tiêu chun này. B vi x lý này trước đây được biết
đến vi tên mã Westmere-EP. AES-NI thc thi mt s bước AES trong phn
cng, đúng trên chip ca b vi x lý. Mc dù vy, bn nên biết rng AES-NI
trên b x lý (processor) không bao gm toàn b ng dng AES mà ch
mt s thành phn ca nó, đây là mt s thành phn được yêu cu để ti ưu
hóa hiu sut mã hóa. AES-NI thc hin điu này bng cách thêm vào 6 ch
lnh AES mi: bn cho mã hóa/gii mã, mt cho ct “mix” và mt cho vic
to văn bn “vòng kế tiếp” (nơi s vòng được điu khin bi chiu dài bit
mà bn chn).
Mt th khá thú v v Intel AES-NI là vì, nó được da trên phn cng nên
không cn có các bng tìm kiếm bên trong b nh và các khi mã hóa được
thc thi trong processor. Điu này làm gim được cơ hi “tn công side
channel” thành công. Thêm vào đó, Intel AES-NI cho phép h thng có th
thc thi độ dài khóa dài hơn, và kết qu cui cùng cho chúng ta có được d
liu an toàn hơn.
Ti thi đim này, Intel AES-NI hin tp trung vào ba trường hp s dng
chính:
Giao dch an toàn qua Internet và mng ni b
Mã hóa toàn b đĩa (chng hn như tính năng được cung cp bi
Microsoft BitLocker)
Mã hóa mc ng dng (mt phn trong giao dch an toàn)
Các giao dch an toàn qua Internet và mng ni b có th gm có vic s
dng SSL để kết ni đến mt website an toàn trên Internet hoc mng ni
b. Thêm vào đó, chế độ truyn ti và đường hm IPsec cũng đang tr nên
ph biến cho vic bo mt các phiên (session) qua mng ni b, và trong
trường hp DirectAccess, qua Internet. Cn lưu ý rng SSL được s dng
cho vic mã hóa truyn thông lp 7, trong khi IPsec được s dng để bo
mt s truyn thông mc mng (lp 3).
Chc chn chúng ta đã nghe thy “đám mây” s là mt vn đề ln trong tính
toán, và các nhà cung cp dch v đám mây s có nhiu li ích t Intel AES-
NI, nơi đa s s truyn thông ca h được thc hin qua mt kênh mã hóa.
Đối vi Ipsec, nếu ch có mt vài kết ni IPsec vi mt máy ch, SSL
offload có th đủ tt. Tuy nhiên nếu bn có mt máy ch bn rn, mt mình
Intel AES-NI hoc có kết hp vi SSL offload s là mt gii pháp tt hơn.
Sau khi có được thành phn giao dch ca “các giao dch an toàn”. Ngoài
ng dng hoc mã hóa mc mng, còn có mt mã hóa mc ng dng có th
hưởng li t Intel AES-NI. Cho ví d:
Cơ s d liu có th được mã hóa
Email có th được mã hóa
Các dch v qun lý quyn s dng mã hóa
Bn thân h thng file có th được mã hóa (trái vi mã hóa mc đĩa).
Các ng dng như Microsoft SQL có th s dng Transparent Data
Encryption (TDE) để t động mã hóa các entry được to trong cơ s
d liu.
Có th nói Intel AES-NI có th tăng tc đáng k thi gian giao dch và làm
cho các khách hàng cm thy hnh phúc hơn, các nhân viên có năng sut
làm vic tt hơn.