. Những điều căn bản về mã hoá
Khi bắt đầu tìm hiểu về mã hoá, chúng ta thường đặt ra những câu hỏi
chẳng hạn như là: Tại sao cần phải sử dụng mã hoá ? Tại sao lại có quá
nhiều thuật toán mã hoá ?v v…
Tai sao cần phải sử dụng mã hoá ?
Thuật toán Cryptography đề cập tới nghành khoa học nghiên cứu về mã
hoá và giải mã thông tin. Cụ thể hơn là nghiên cứu các cách thức chuyển đổi
thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại. Đây
là một phương pháp hỗ trợ rất tốt cho trong việc chống lại những truy cập bất
hợp pháp tới dữ liệu được truyền đi trên mạng, áp dụng mã hoá sẽ khiến cho
nội dung thông tin được truyền đi dưới dạng mờ và không thể đọc được đối
với bất kỳ ai cố tình muốn lấy thông tin đó.
Nhu cầu sử dụng kỹ thuật mã hoá ?
Không phai ai hay bất kỳ ứng dụng nào cũng phải sử dụng mã hoá. Nhu
cầu về sử dụng mã hoá xuất hiện khi các bên tham gia trao đổi thông tin
muốn bảo vệ các tài liệu quan trọng hay gửi chúng đi một cách an toàn. Các
tài liệu quan trọng có thể là: tài liệu quân sự, tài chính, kinh doanh hoặc đơn
giản là một thông tin nào đó mang tính riêng tư.
Như chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của
chính phủ Mỹ nhằm phục vụ cho mục đích quân sự. Khi chúng ta tham gia
trao đổi thông tin, thì Internet là môi trường không an toàn, đầy rủi ro và nguy
hiểm, không có gì đảm bảo rằng thông tin mà chúng ta truyền đi không bị đọc
trộm trên đường truyền. Do đó, mã hoá được áp dụng như một biện pháp
nhằm giúp chúng ta tự bảo vệ chính mình cũng như những thông tin mà
chúng ta gửi đi. Bên cạnh đó, mã hoá còn có những ứng dụng khác như là
bảo đảm tính toàn vẹn của dữ liệu.
Tại sao lại có quá nhiều thuật toán mã hoá ?
Theo một số tài liệu thì trước đây tính an toàn, bí mật của một thuật toán
phụ thuộc vào phương thức làm việc của thuật toán đó. Nếu như tính an toàn
của một thuật toán chỉ dựa vào sự bí mật của thuật toán đó thì thuật toán đó
là một thuật toán hạn chế (Restricted Algrorithm). Restricted Algrorithm có tầm

- Key: Thành phần quan trọng trong việc mã hoá và giải mã
- CryptoGraphic Algorithm: Là các thuật toán được sử dụng trong việc
mã hoá hoặc giải mã thông tin
- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá,
Plaintext, Ciphertext
Kí hiệu chung: P là thông tin ban đầu, trước khi mã hoá. E() là thuật toán mã
hoá. D() là thuật toán giải mã. C là thông tin mã hoá. K là khoá. Chúng ta
biểu diễn quá trình mã hoá và giải mã như sau:
- Quá trình mã hoá được mô tả bằng công thức: EK(P)=C
- Quá trình giải mã được mô tả bằng công thức: DK(C)=P
Minh hoạ quá trình mã hóa và giải mã
Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải
đảm bảo các mục tiêu sau:
a. Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một
cách an toàn và không thể bị lộ thông tin nếu như có ai đó cố tình muốn
có được nội dung của dữ liệu gốc ban đầu. Chỉ những người được phép
mới có khả năng đọc được nội dung thông tin ban đầu.
b. Authentication (Tính xác thực): Giúp cho người nhận dữ liệu xác
định được chắc chắn dữ liệu mà họ nhận là dữ liệu gốc ban đầu. Kẻ giả
mạo không thể có khả năng để giả dạng một người khác hay nói cách
khác không thể mạo danh để gửi dữ liệu. Người nhận có khả năng kiểm
tra nguồn gốc thông tin mà họ nhận được.
c. Integrity (Tính toàn vẹn): Giúp cho người nhận dữ liệu kiểm tra được
rằng dữ liệu không bị thay đổi trong quá trình truyền đi. Kẻ giả mạo không
thể có khả năng thay thế dữ liệu ban đầu băng dữ liệu giả mạo
d. Non-repudation (Tính không thể chối bỏ): Người gửi hay người nhận
không thể chối bỏ sau khi đã gửi hoặc nhận thông tin.
2. Độ an toàn của thuật toán
Nguyên tắc đầu tiên trong mã hoá là “Thuật toán nào cũng có thể bị phá vỡ”.
Các thuật toán khác nhau cung cấp mức độ an toàn khác nhau, phụ thuộc

- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
- Hàm băm (Hash function)
Phân loại theo số lượng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
3.1 Mã hoá cổ điển:
Xuất hiện trong lịch sử, các phương pháp này không dùng khoá. Thuật
toán đơn giản và dễ hiểu. Những từ chính các phương pháp mã hoá này đã
giúp chúng ta tiếp cận với các thuật toán mã hoá đối xứng được sử dụng
ngày nay. Trong mã hoá cổ điển có 02 phương pháp nổi bật đó là:
- Mã hoá thay thế (Substitution Cipher):
Là phương pháp mà từng kí tự (hay từng nhóm kí tự) trong bản rõ
(Plaintext) được thay thế bằng một kí tự (hay một nhóm kí tự) khác để tạo
ra bản mờ (Ciphertext). Bên nhận chỉ cần đảo ngược trình tự thay thế trên
Ciphertext để có được Plaintext ban đầu.
- Mã hoá hoán vị (Transposition Cipher):
Bên cạnh phương pháp mã hoá thay thế thì trong mã hoá cổ điển có một
phương pháp khác nữa cũng nổi tiếng không kém, đó chính là mã hoá
hoán vị. Nếu như trong phương pháp mã hoá thay thế, các kí tự trong
Plaintext được thay thế hoàn toàn bằng các kí tự trong Ciphertext, thì
trong phương pháp mã hoá hoán vị, các kí tự trong Plaintext vẫn được
giữ nguyên, chúng chỉ được sắp xếp lại vị trí để tạo ra Ciphertext. Tức là
các kí tự trong Plaintext hoàn toàn không bị thay đổi bằng kí tự khác.
3.2 Mã hoá đối xứng:
Ở phần trên, chúng ta đã tìm hiểu về mã hoá cổ điển, trong đó có nói
rằng mã hoá cổ điển không dùng khoá. Nhưng trên thực nếu chúng ta phân
tích một cách tổng quát, chúng ta sẽ thấy được như sau:
- Mã hoá cổ điển có sử dụng khoá. Bằng chứng là trong phương pháp

đầu được thay thế bằng một khối dữ liệu khác có cùng độ dài. Đối với các
thuật toán ngày nay thì kích thước chung của một Block là 64 bits.
- Loại thứ hai tác động lên bản rõ theo từng bit một. Các thuật toán áp
dụng được gọi là Stream Cipher. Theo đó, dữ liệu của văn bản được mã
hoá từng bit một. Các thuật toán mã hoá dòng này có tốc độ nhanh hơn
các thuật toán mã hoá khối và nó thường được áp dụng khi lượng dữ liệu
cần mã hoá chưa biết trước.
Một số thuật toán nổi tiếng trong mã hoá đối xứng là: DES, Triple
DES(3DES), RC4, AES…
- DES: viết tắt của Data Encryption Standard. Với DES, bản rõ
(Plaintext) được mã hoá theo từng khối 64 bits và sử dụng một khoá là 64
bits, nhưng thực tế thì chỉ có 56 bits là thực sự được dùng để tạo khoá, 8
bits còn lại dùng để kiểm tra tính chẵn, lẻ. DES là một thuật toán được sử
dụng rộng rãi nhất trên thế giới. Hiện tại DES không còn được đánh giá
cao do kích thước của khoá quá nhỏ 56 bits, và dễ dàng bị phá vỡ.
- Triple DES (3DES): 3DES cải thiện độ mạnh của DES bằng việc sử
dụng một quá trình mã hoá và giải mã sử dụng 3 khoá. Khối 64-bits của
bản rõ đầu tiên sẽ được mã hoá sử dụng khoá thứ nhất. Sau đó, dữ liệu
bị mã hóa được giải mã bằng việc sử dụng một khoá thứ hai. Cuối cùng,
sử dụng khoá thứ ba và kết quả của quá trình mã hoá trên để mã hoá.
C = EK3(DK2(EK1(P)))
P = DK1(EK2(DK3(C)))
- AES: Viết tắt của Advanced Encryption Standard, được sử dụng để
thay thế cho DES. Nó hỗ trợ độ dài của khoá từ 128 bits cho đến 256
bits.
3.3 Mã hoá bất đối xứng:
Hay còn được gọi với một cái tên khác là mã hoá khoá công khai (Public
Key Cryptography), nó được thiết kế sao cho khoá sử dụng trong quá
trình mã hoá khác biệt với khoá được sử dụng trong quá trình giải mã.
Hơn thế nữa, khoá sử dụng trong quá trình giải mã không thể được tính

dùng để mã hoá khoá. Hệ thống mã hoá khoá lai ra đời là sự kết hợp giữa tốc
độ và tính an toàn của hai hệ thống mã hoá ở trên. Dưới đây là mô hình của
hệ thống mã hoá lai:
Nhìn vào mô hình chúng ta có thể hình dung được hoạt động của hệ thống
mã hoá này như sau:
- Bên gửi tạo ra một khoá bí mật dùng để mã hoá dữ liệu. Khoá này còn
được gọi là Session Key.
- Sau đó, Session Key này lại được mã hoá bằng khoá công khai của
bên nhận dữ liệu.
- Tiếp theo dữ liệu mã hoá cùng với Session Key đã mã hoá được gửi
đi tới bên nhận.
- Lúc này bên nhận dùng khoá riêng để giải mã Session Key và có
được Session Key ban đầu.
- Dùng Session Key sau khi giải mã để giải mã dữ liệu.
Như vậy, hệ thống mã hoá khoá lai đã tận dụng tốt được các điểm mạnh của
hai hệ thống mã hoá ở trên đó là: tốc độ và tính an toàn. Điều này sẽ làm
hạn chế bớt khả năng giải mã của tin tặc.
4. Một số ứng dụng của mã hoá trong Security
Một số ứng dụng của mã hoá trong đời sống hằng ngày nói chung và
trong lĩnh vực bảo mật nói riêng. Đó là:
- Securing Email
- Authentication System
- Secure E-commerce
- Virtual Private Network
- Wireless Encryption
Giới thiệu
Bài viết này sẽ trình bày các vấn đề được xem là nền tảng của an toàn, bảo
mật trong một tổ chức, doanh nghiệp. Các vần đề được trình bày bao gồm cả
bảo mật ở mức hệ thống và ứng dụng sẽ là cơ sở cho các tổ chức khi muốn
xây dựng cơ chế bảo mật. Tài liệu cũng giúp bạn rút ngắn được thời gian tiếp

trình xử lý, các cảnh bảo bảo mật, sự thẩm định hay các thông tin cần được
bảo vệ. Điều này rất quan trọng khi cung cấp một cái nhìn bao quát về hệ
thống bảo mật của công ty. Sự chuẩn bị này cũng nên tham chiếu tới các
chính sách bảo mật cũng như các hướng dẫn thực hiện của công ty trong vần
đề an toàn bảo mật. Phải lường trước được những gì xảy ra trong từng bước
tiến hành của các dự án.
Để kiểm tra mức độ yếu kém của hệ thống, hãy bắt đầu với những vấn đề có
thể dẫn tới độ rủi ro cao nhất trong hệ thống mạng của bạn, như Internet. Hãy
sử dụng cơ chế bảo mật bên ngoài từ sản phẩm của một hãng có danh tiếng,
có thể cung cấp thông tin cần thiết để ước lượng mức bảo mật hiện tại của
công ty bạn khi bị tấn công từ Internet. Sự thẩm định này không chỉ bao gồm
việc kiểm tra các lỗ hổng, mà còn gồm cả các phân tích từ người sử dụng, hệ
thống được kết nối bằng VPN, mạng và các phân tích về thông tin công cộng
sẵn có.
Một trong những cân nhắc mang tính quan trọng là thẩm định từ bên ngoài
vào. Đây chính là điểm mấu chốt trong việc đánh giá hệ thống mạng. Điển
hình, một công ty sử dụng cơ chế bảo mật bên ngoài, cung cấp các dịch vụ
email, Web theo cơ chế đó, thì họ nhận ra rằng, không phải toàn bộ các tấn
công đều đến từ Internet. Việc cung cấp lớp bảo mật theo account, mạng bảo
vệ bản thân họ từ chính những người sử dụng VPN và các đồng nghiệp, và
tạo ra các mạng riêng rẽ từ các cổng truy cập đầu cuối là toàn bộ các ưu thế
của cơ chế này.
Cơ chế bảo mật bên trong cũng giúp việc quản lý bảo mật công ty được tốt
hơn. Bằng cách kiểm tra toàn bộ công việc kinh doanh, các cơ chế chính
sách, các quá trình xử lý, xác thực dữ liệu tương phản với những gì được mô
tả, hay sự tương thích với những chuẩn đã tồn tại được thẩm định. Cơ chế
bảo mật bên trong cung cấp thông tin một cách chi tiết tương tự như việc
khảo sát kỹ lưỡng phạm vi ở mức sâu hơn, thậm chí bao gồm cả việc phá mã
mật khẩu và các công cụ phân tích hệ thống để kiểm tra tính tương thích về
chính sách trong tương lai.

sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa
năng.
Firewall
Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù
hợp với chính sách của công ty là một trong những việc đầu tiên trong quá
trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần
mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công
trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra
vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là
dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng
dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các
chức năng của firewall, tính năng lọc địa chỉ, gói tin,
Hệ thống kiểm tra xâm nhập mạng (IDS)
Một firewall được gọi là tốt chỉ khi nó có thể lọc và tạo khả năng kiểm soát các
gói tin khi đi qua nó. Và đây cũng chính là nơi mà hệ thống IDS nhập cuộc.
Nếu bạn xem firewall như một con đập ngăn nước, thì thì bạn có thể ví IDS
như một hệ thống điều khiển luồng nước trên các hệ thống xả nước khác
nhau. Một IDS, không liên quan tới các công việc điều khiển hướng đi của các
gói tin, mà nó chỉ có nhiệm vụ phân tích các gói tin mà firewall cho phép đi
qua, tìm kiếm các chữ kí tấn công đã biết (các chữ kí tấn công chính là các
đoạn mã được biết mang tính nguy hiểm cho hệ thống) mà không thể kiểm tra
hay ngăn chặn bởi firewall. IDS tương ứng với việc bảo vệ đằng sau của
firewall, cung cấp việc chứng thực thông tin cần thiết để đảm bảo chắc chắn
cho firewall hoạt động hiệu quả.
Hệ thống kiểm tra xâm phạm dựa theo vùng (H-IDS)
Sự lựa chọn, thực hiện và sử dụng một hệ thống kiểm tra sự xâm phạm trên
máy chủ dựa trên nhiều hệ điều hành và môi trường ứng dụng chỉ định. Một
hàm chức năng đầy đủ của H-IDS có thể cung cấp các thông báo đều đặn
theo thời gian của bất kỳ sự thay đổi nào tới máy chủ từ tác động bên trong
hay bên ngoài. Nó là một trong những cách tốt nhất để giảm thiểu sự tổn

chia kênh dữ liệu, thiết lập hệ thống bảo vệ virus khi chạy hệ thống từ xa, tất
cả công việc này giúp giảm thiểu tính rủi ro. Điều này rất quan trọng đối với
các công ty phải đối mặt với những đe doạ trong việc kiện cáo, mạng của họ
hay hệ thống được sử dụng để tấn công các công ty khác.
Sinh trắc học trong bảo mật
Sinh trắc học đã được biết đến từ một số năm trước đây, nhưng cho đến nay
vẫn có rất nhiều khó khăn cho việc nhân rộng để áp dụng cho các hệ thống
bảo mật thương mại. Dấu tay, tròng mắt, giọng nói, , cung cấp bảo mật mức
cao trên các mật khẩu thông thường hay chứng thực hai nhân tố, nhưng cho
đến hiện tại, chúng cũng vẫn được coi như phương thức tốt nhất để truy cập
vào hệ thống.
Các thế hệ thẻ thông minh
Các công ty gần đây sử dụng đã sử dụng thẻ thông minh như một phương
thức bảo mật hữu hiệu. Windows 2000 cung cấp cơ chế hỗ trợ thẻ thông
minh như một phương tiện chính trong việc chứng thực quyền đăng nhập hệ
thống. Nói chung, sự kết hợp đa công nghệ (như tròng mắt, thẻ thông minh,
dấu tay) đang dần hoàn thiện và mở ra một thời đại mới cho việc chứng thực
quyền truy cập trong hệ thống bảo mật.
Kiểm tra máy chủ
Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc
chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra
từ Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên
trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu
tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào
đó bị trục trặc.
Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo
mật tối thiểu và có rất nhiều lỗ hổng bảo mật. Trước khi một máy chủ khi đưa
vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định. Toàn
bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không
cần thiết nào phải được loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp

Khi lựa chọn một hệ điều hành, hãy tìm hiểu không chỉ các tiêu chuẩn thông
thường như (quản trị, hiệu năng, tính chứng thực), mà còn phải xem xét khả
năng áp dụng được của hệ điều hành với hệ thống hiện tại. Một hệ điều hành
có thể cung cấp cơ chế bảo mật tốt hơn khi nó tương thích với các ứng dụng
chạy bên trong nó như DNS hay WebServer, trong khi các hệ điều hành khác
có thể có nhiều chức năng tốt hơn như một hệ thống application, database
hay email server.
Bước 5: Thực hiện và giáo dục
Ban đầu, sự hỗ trợ cần thiết sẽ được đúc rút lại và lên kế hoạch hoàn chỉnh
cho dự án bảo mật. Đây chính là bước đi quan trọng mang tính chiến lược
của mỗi công ty về vấn đề bảo mật. Các chi tiết kỹ thuật của bất kỳ sự mô tả
nào cũng sẽ thay đổi theo môi trường, công nghệ, và các kỹ năng liên quan,
ngoài ra có một phần không nằm trong việc thực thi bảo mật nhưng chúng ta
không được coi nhẹ, đó chính là sự giáo dục. Để đảm bảo sự thành công bảo
mật ngay từ lúc đầu, người sử dụng phải có được sự giáo dục cần thiết về
chính sách, gồm có:
 Kỹ năng về các hệ thống bảo mật mới, các thủ tục mới.
 Hiểu biết về các chính sách mới về tài sản, dữ liệu quan trọng của công ty.
 Hiểu các thủ tục bắt buộc mới, chính sách bảo mật công ty.
Nói tóm lại, không chỉ đòi hỏi người sử dụng có các kỹ năng cơ bản, mà đòi
hỏi học phải biết như tại sao và cái gì họ đang làm là cần thiết với chính sách
của công ty.
Bước 6: Tiếp tục kiểm tra, phân tích và thực hiện
Hầu hết những gì mong đợi của một hệ thống bảo mật bất kỳ là chạy ổn định, điều
khiển được hệ thống và nắm bắt được các luồng dữ liệu của hệ thống. Quá trình phân
tích, tổng hợp các thông tin, sự kiện từ firewall, IDS’s, VPN, router, server, và các
ứng dụng là cách duy nhất để kiểm tra hiệu quả của một hệ thống bảo mật, và cũng là
cách duy nhất để kiểm tra hầu hết sự vi phạm về chính sách cũng như các lỗi thông
thường mắc phải với hệ thống.
Các gợi ý bảo mật cho hệ thống và mạng

• Cấu hình của firewall nên có các luật nghiêm ngặt. Chỉ rõ các luật đối
với từng loại truy nhập cả bên ngoài lẫn bên trong.
• Giảm thiểu các truy nhập từ xa tới firewall.
• Cung cấp hệ thống kiểm soát tập luật của firewall.
• Kiểm tra lại các luật.
Cisco PIX Firewalls
• Không cho phép truy cập qua telnet
• Sử dụng AAA cho việc truy cập, điều khiển hệ thống console
Kiểm soát Firewall-1
• Loại bỏ các luật mặc định cho phép mã hoá và quản lý của firewall, thay
thế các luật không rõ ràng bằng các luật phân biệt rạch ròi trong công
việc thực thi của bạn.
• Không sử dụng mặc định luật “allow DNS traffic” - chấp nhận luật này
chỉ cho các máy chủ cung cấp DNS cho bên ngoài.
DNS bên trong
• Bất kỳ máy chủ nào cung cấp DNS bên trong và các dịch vụ mang tính
chất nội bộ phải không được cung cấp DNS bên ngoài.
• Kiểm tra với nhà cung cấp DNS của bạn để cấu hình bảo vệ từ thuộc
tính “cache poisoning”
(Infosec)
Càng ngày các công nghệ mới càng hướng đến sự đơn giản, tiện
lợi và một đặc trưng quan trọng nữa là khả năng không dây
(wireless). Thiết bị không dây trong một thế giới di động làm cho con
người được giải phóng, tự do và thoải mái hơn.
Một thiết bị chủ yếu trong hướng phát triển này là “Bộ định danh
bằng tần số vô tuyến” – RFID (Radio Frequency Identifier), đây là
thiết bị di động thụ động (Passive Mobile Device), được coi là một
cuộc cách mạng trong các hệ thống nhúng và trong môi trường
tương tác hiện nay.
Thực chất, thiết bị là một thẻ nhớ lưu trữ thông tin cá nhân và dữ liệu khác

nó được cấp phát.
Mặt khác, để đảm bảo tính an toàn và riêng tư của mỗi thẻ RFID, người ta
cũng đặt ra cơ chế kiểm soát như:
- Thông tin gì được lưu trong RFID?
- Ai có thể đọc được RFID của tôi?
- Ai có thể ghi vào bộ nhớ của tôi?
- Làm thế nào để tôi biết có người đọc dữ liệu của tôi?
Ưu và nhược điểm của RFID:
- Xử lý tự động
- Tiết kiệm năng lượng
- Chưa có chuẩn chung
- Chưa có giải pháp bảo mật hiệu quả.
- Tính riêng tư
Việc phổ biến RFID đối mặt với một số thách thức về mặt kỹ thuật và tài
chính. Đó là:
Định hướng phát triển
Xử lý tín hiệu: Tín hiệu RFID dễ bị ngăn cản bởi các vật nhỏ bằng kim loại
trong khoảng cách gần; với khoảng cách lớn hơn, các vật thể lớn hơn, thậm
chí thân thể con người cũng làm méo tín hiệu. Hiện nay người ta đã cải tiến
bằng cách thiết kế các loại ăng-ten mới và tăng cường độ nhạy của thiết bị
đọc.
Quá nhiều chuẩn: Cần phải có chuẩn chung để mở rộng khả năng khai thác
thẻ. Hiện có nhiều hãng cạnh tranh đưa ra các chuẩn khác nhau. Ví dụ, Nokia
đã sử dụng chuẩn EPCGlobal và hệ thống siêu thị Wal-Mart sử dụng ISO
14443.
Quản lý tần số: Thông thường do Cục Tần Số Quốc Gia quản lý. Hiện tại, Mỹ
đã thành lập một trung tâm Auto-ID kết hợp với Tổ Chức Tiêu Chuẩn Quốc Tế
(ISO) để làm việc về vấn đề này.
Định dạng dữ liệu: Các dữ liệu chỉ đọc (không được phép sửa đổi) phải được
định nghĩa sẵn trong chuẩn, nếu không được định nghĩa sẵn, thông tin cần

dây. Thực ra, WEP đã đưa cả xác thực người dùng và đảm bảo an toàn dữ liệu vào
cùng một phương thức không an toàn. WEP sử dụng một khoá mã hoá không thay đổi
có độ dài 64 bit hoặc 128 bit, (nhưng trừ đi 24 bit sử dụng cho vector khởi tạo khoá
mã hoá, nên độ dài khoá chỉ còn 40 bit hoặc 104 bit) được sử dụng để xác thực các
thiết bị được phép truy cập vào trong mạng, và cũng được sử dụng để mã hoá truyền
dữ liệu.
Rất đơn giản, các khoá mã hoá này dễ dàng bị "bẻ gãy" bởi thuật toán brute-force và
kiểu tấn công thử lỗi (trial-and-error). Các phần mềm miễn phí như Airsnort hoặc
WEPCrack sẽ cho phép hacker có thể phá vỡ khoá mã hoá nếu họ thu thập đủ từ 5 đến
10 triệu gói tin trên một mạng không dây. Với những khoá mã hoá 128 bit cũng không
khá hơn: 24 bit cho khởi tạo mã hoá nên chỉ có 104 bit được sử dụng để mã hoá, và
cách thức cũng giống như mã hoá có độ dài 64 bit nên mã hoá 128 bit cũng dễ dàng bị
bẻ khoá. Ngoài ra, những điểm yếu trong những vector khởi tạo khoá mã hoá giúp cho
hacker có thể tìm ra mật khẩu nhanh hơn với ít gói thông tin hơn rất nhiều.
Không dự đoán được những lỗi trong khoá mã hoá, WEP có thể được tạo ra cách bảo
mật mạnh mẽ hơn nếu sử dụng một giao thức xác thực mà cung cấp mỗi khoá mã hoá
mới cho mỗi phiên làm việc. Khoá mã hoá sẽ thay đổi trên mỗi phiên làm việc. Điều
này sẽ gây khó khăn hơn cho hacker thu thập đủ các gói dữ liệu cần thiết để có thể bẽ
gãy khoá bảo mật.
Giải pháp tình thế: VPN (Vitual Private Network) Fix
Nhận ra sự yếu kém của WEP, những người sử dụng doanh nghiệp đã khám phá ra
một cách hiệu quả để bảo vệ mạng không dây WLAN của mình, được gọi là VPN Fix.
Ý tưởng cơ bản của phương pháp này là coi những người sử dụng WLAN như những
người sử dụng dịch vụ truy cập từ xa.
Trong cách cấu hình này, tất các những điểm truy cập WLAN, và cũng như các máy
tính được kết nối vào các điểm truy cập này, đều được định nghĩa trong một mạng
LAN ảo (Vitual LAN). Trong cơ sở hạ tầng bảo mật, các thiết bị này được đối xử như
là "không tin tưởng". Trước khi bất cứ các thiết bị WLAN được kết nối, chúng sẽ phải
được sự cho phép từ thành phần bảo mật của mạng LAN. Dữ liệu cũng như kết nối
của các thiết bị sẽ phải chạy qua một máy chủ xác thực như RADIUS chẳng hạn

là Chuẩn mã hoá nâng cao AES (Advanced Encryption Standard). AES sử dụng thuật
toán mã hoá đối xứng theo khối Rijndael, sử dụng khối mã hoá 128 bit, và 192 bit
hoặc 256 bit.
Để đánh giá chuẩn mã hoá này, Viện nghiên cứu quốc gia về Chuẩn và Công nghệ của
Mĩ, NIST (National Institute of Standards and Technology), đã thông qua thuật toán
mã đối xứng này. Và chuẩn mã hoá này được sử dụng cho các cơ quan chính phủ Mĩ
để bảo vệ các thông tin nhạy cảm. Nếu muốn biết chi tiết về cách làm việc của thuật
toán Rijndael, bạn có thể ghé thăm http://en.wikipedia.org/wiki/Rijndael
Trong khi AES được xem như là bảo mật tốt hơn rất nhiều so với WEP 128 bit hoặc
168 bit DES (Digital Encryption Standard). Để đảm bảo về mặt hiệu năng, quá trình
mã hoá cần được thực hiện trong các thiết bị phần cứng như tích hợp vào chip. Tuy
nhiên, rất ít card mạng WLAN hoặc các điểm truy cập có hỗ trợ mã hoá bằng phần
cứng tại thời điểm hiện tại. Hơn nữa, hầu hết các thiết bị cầm tay Wi-Fi và máy quét
mã vạch đều không tương thích với chuẩn 802.11i.
WPA (Wi-Fi Protected Access)
Nhận thấy được những khó khăn khi nâng cấp lên 802.11i, Wi-Fi Alliance đã đưa ra
giải pháp khác gọi là Wi-Fi Protected Access (WPA). Một trong những cải tiến quan
trọng nhất của WPA là sử dụng hàm thay đổi khoá TKIP (Temporal Key Integrity
Protocol). WPA cũng sử dụng thuật toán RC4 như WEP, nhưng mã hoá đầy đủ 128
bit. Và một đặc điểm khác là WPA thay đổi khoá cho mỗi gói tin. Các công cụ thu
thập các gói tin để phá khoá mã hoá đều không thể thực hiện được với WPA. Bởi
WPA thay đổi khoá liên tục nên hacker không bao giờ thu thập đủ dữ liệu mẫu để tìm
ra mật khẩu. Không những thế, WPA còn bao gồm kiểm tra tính toàn vẹn của thông
tin (Message Integrity Check). Vì vậy, dữ liệu không thể bị thay đổi trong khi đang ở
trên đường truyền.
Một trong những điểm hấp dẫn nhất của WPA là không yêu cầu nâng cấp phần cứng.
Các nâng cấp miễn phí về phần mềm cho hầu hết các card mạng và điểm truy cập sử
dụng WPA rất dễ dàng và có sẵn. Tuy nhiên, WPA cũng không hỗ trợ các thiết bị cầm
tay và máy quét mã vạch. Theo Wi-Fi Alliance, có khoảng 200 thiết bị đã được cấp
chứng nhận tương thích WPA.

Minh Phúc (Theo Newsfac
Với sự bùng nổ ngày càng mạnh mẽ của mạng Internet, các quốc gia,
các tổ chức, các công ty và tất cả mọi người dường như đang xích lại gần
nhau. Họ đã, đang và luôn muốn hoà nhập vào mạng Internet để thoả mãn
"cơn khát thông tin" của nhân loại.
Cùng với sự phát triển tiện lợi của Internet, việc lấy cắp thông tin mật, các
chương trình và dữ liệu quan trọng, việc thâm nhập bất hợp pháp và phá hoại
thông qua Internet cũng gia tăng về số lượng, loại hình và kỹ xảo. Do đó,
song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần
nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng. Bài viết này không
có ý định trình bày một cách tường tận, chi tiết về cấu trúc mạng Internet,
cũng không có tham vọng nghiên cứu một cách kỹ lưỡng về các khía cạnh
sâu xa của lĩnh vực "Security" mà chỉ đưa ra các thông tin khái quát xung
quanh vấn đề "Internet Security", các hình thức tấn công qua mạng Internet
cũng như các biện pháp bảo vệ, ngăn chặn những cuộc tấn công đó.
1. Tổng quan về an ninh, an toàn trên mạng Internet (Internet Security)
Mạng máy tính toàn cầu Internet là mạng của các mạng máy tính được
kết nối với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông tin tương
hỗ. Các mạng được điều hành hoạt động bởi một hoặc nhiều loại hệ điều
hành mạng. Như vậy, hệ điều hành mạng có thể điều phối một phần của
mạng và là phần mềm điều hành đơn vị quản lý nhỏ nhất trên toàn bộ mạng.
Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng
máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn mở cửa.
Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôn cần được sử
dụng.
Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở
mức cao nhất song không phải bao giờ cũng thuận lợi và không tốn kém.
Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh trách nhiệm lá
chắn cuối cùng cho thông tin. Vượt qua lá chắn này thông tin hầu như không
còn được bảo vệ nữa.

2.2. Nghe trộm trên mạng
Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này
qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho
thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe
trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và
tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các hacker
đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền. May
mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin
cá nhân của mình trên mạng Intemet. Bạn có thể mã hoá cho nguồn thông tin
của mình trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai
đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa.
2.3. Giả mạo địa chỉ
Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn
đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng
khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải
đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông
tin có thể làm ảnh hưởng xấu tới bạn.
2.4. Vô hiệu hoá các chức năng của hệ thống
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp
dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các
chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi
chính những phương tiện dùng để tổ chức tấn công lại chính là những
phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về
trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy
ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn
luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn
tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm
không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài
nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và

2.6. Một số kiểu tấn công khác
Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số
kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi
người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã
tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu tấn

Trích đoạn Thực trạng an ninh trên mạng ở Việt nam trong thời gian qua

---