Sự phát triển của giao thức bảo mật TLS/SSL
TLS (Transport Layer Security), là giao thức bảo mật tầng giao vận, được phát triển dựa trên Secure Socket Layer (SSL). TLS cung cấp cơ chế trao đổi thông tin an toàn sử dụng mật mã đối xứng để mã hóa dữ liệu truyền đi.
Lịch sử phát triển của TLS/SSL
Song song với sự phát triển của công nghệ nhằm chống lại những thách thức về rủi ro mất ATTT là sự phát triển của TLS. Dựa trên SSL phiên bản 3.0 (SSL v3.0), giao thức TLS phiên bản đầu tiên 1.0 (TLS v1.0) ra đời được tổ chức Lực lượng chuyên trách về kỹ thuật liên mạng (Internet Engineering Task Force - IETF) công bố tại RFC 2246 (Request for Comments) vào tháng 01/1999. RFC là những tài liệu kỹ thuật và tổ chức về Internet, bao gồm những tài liệu đặc tả kỹ thuật và chính sách được tổ chức IETF phát hành. Sự khác biệt giữa TLS v1.0 và SSL v3.0 không đáng kể, nhưng điểm khác biệt lớn nhất là chúng không tương thích với nhau. Mặc dù, TLS v1.0 được kết hợp một cơ chế cho phép thực hiện TLS v1.0 phù hợp với SSL v3.0.
Đến tháng 4/2006, TLS v1.1 được IETF công bố tại RFC 4346. Đây là bản cập nhật so với TLS v1.0. Trong đó, cải tiến nổi bật nhất là tính năng chống lại tấn công mã khối (Cipher Block Chaining - CBC).
Tháng 8/2008, phiên bản TLS v1.2 ra đời và được định nghĩa trong RFC 5246. Trong 10 năm qua, TLS v1.2 được sử dụng rộng rãi bởi đa số các trình duyệt web như: Chrome (8/2013), Safari trên OS X (10/2013), Firefox (2/2014).
So với TLS v1.2, TLS v1.3 hứa hẹn sẽ gia tăng tốc độ và nâng cao an toàn bảo mật. Tuy nhiên, hiện nay, TLS v1.3 vẫn đang quá trình hoàn thiện và vẫn còn trong dự thảo (trên Github).
Sự khác biệt giữa TLS v1.0 và TLS v1.1
Một số cải tiến của TLS v1.1 so với TLS v1.0, bao gồm:
- Véc-tơ khởi tạo không chính thức (Implicit Initialization Vector) được thay thế bằng một véc-tơ khởi tạo rõ ràng (Explicit Initialization Vector) để bảo vệ chống lại các cuộc tấn công CBC.
- Xử lý lỗi đệm được thay đổi, sử dụng cảnh báo bad_record_mac thay cho cảnh báo decryption_failed để bảo vệ chống lại các cuộc tấn công CBC.
- Đăng ký IANA (Internet Assigned Numbers Authority - Tổ chức cấp phát số hiệu Internet) được định nghĩa cho các tham số giao thức.
- Việc đóng phiên làm việc vẫn có thể khôi phục lại được.
- Bổ sung thông tin về các cuộc tấn công mới khác trên TLS.
Sự khác biệt giữa TLS v1.1 và TSL v1.2
Những thay đổi chủ yếu của TLS v1.2 so với TLS v1.1 là:
- Việc kết hợp các thuật toán MD5 và SHA-1 trong hàm giả ngẫu nhiên (Pseudorandom Function - PRF) được thay thế bằng thuật toán SHA256 (thuật toán SHA 256 bit) và tùy chọn sử dụng các PRF được xác định bằng mật mã.
- Việc kết hợp các thuật toán MD5 và SHA-1 trong thành phần được ký số đã được thay thế bằng một băm duy nhất. Các thành phần được ký số hiện nay bao gồm một trường thông tin quy định cụ thể thuật toán băm được sử dụng.
- Tăng cường khả năng của máy khách và máy chủ để xác định băm và các thuật toán ký số chúng sẽ chấp nhận.
- Bổ sung hỗ trợ thuật toán mã hóa xác thực bằng các mô hình dữ liệu.
- Định nghĩa mở rộng TLS và bộ mã hóa AES đã được sáp nhập làm một.
- Tăng cường khả năng kiểm tra chặt chẽ hơn số phiên bản của EncryptedPreMasterSecret.
- Cấu hình mặc định TLS_RSA_WITH_AES_128_CBC_SHA để thực hiện mã hóa. Thêm bộ mã hoá HMAC- SHA256 và loại bỏ bộ mã hoá IDEA và DES.
Sự khác biệt giữa TLS v1.2 và TSL v1.3
Dự kiến, những cải tiến trong TLS v1.3 sẽ giúp tăng tốc độ kết nối bằng việc giảm 2 bước trong quá trình.
Các bước bắt tay của TLS v1.2 và TLS 1.3
Một ưu điểm khác của TLSv 1.3 bổ sung tính năng ‘zero round trip” (0-RTT) có hiệu quả trong cải thiện thời gian tải bằng việc gửi và lưu dữ liệu của các trang web truy cập trước đó.
Trải qua một qua trình phát triển, cho tới nay, TLS/SSL vẫn được cho là giao thức bảo mật phổ biến. Ngày 04/01/2011, Bộ Thông tin và Truyền thông đã phát hành Thông tư số 01/2011/TT-BTTTT về việc Công bố Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước. Cụ thể, đối với loại tiêu chuẩn an toàn tầng giao vận TLS v1.2 và SSL v3.0 là 2 tiêu chuẩn bắt buộc phải áp dụng. Trong trường hợp muốn đảm bảo an toàn trên đường truyền, quy định các ứng dụng và các máy chủ cung cấp dịch vụ bắt buộc phải áp dụng và hỗ trợ các giao thức SSL/TLS.
Vân Ngọc
Tổng hợp