Bảo mật thông tin luôn là vấn đề quan trọng hàng đầu trong các lĩnh vực tình báo, quân sự, ngoại giao, và đây cũng là một vấn đề đã được nghiên cứu hàng nghìn năm nay. Nếu như các vấn đề liên quan đến các hoạt động tình báo và quân sự là khá xa lạ với các doanh nghiệp thì việc bảo mật thông tin thương mại luôn là một vấn đề được đặt ra, đặc biệt trong thời đại hiện nay, khi mà thông tin giữ vai trò quan trọng hàng đầu và các phương tiện truyền thông hiện đại cho phép chúng ta chuyển tin rất dễ dàng và cũng rất dễ dàng để mất thông tin. Vậy ta có thể làm những gì để sử dụng được các tiện ích của công nghệ thông tin và viễn thông đã mang lại cho thế giới và đồng thời không để đối thủ cạnh tranh cũng như các loại tội phạm tin học sử dụng chính những công nghệ này để gây hại.

Trước tiên ta hãy điểm qua một số vấn đề và các khái niệm cơ bản về bảo mật và bảo mật thông tin .

 

Các khái niệm

Các vấn đề về bảo mật thông tin xuất hiện từ những nhu cầu trong các hoạt động tình báo, quân sự, ngoại giao và cả trong thương mại. Các nhu cầu đó là gì.

• Chúng ta muốn chỉ người nhận đọc được thông tin
• Chúng ta muốn đảm bảo rằng thông tin mà chúng ta nhận được đúng là của người gửi.
• Thông tin nhận được không bị người thứ ba sửa đổi .
• Chúng ta muốn người gửi không thể từ chối về nội dung thông tin mà anh ta đã gửi cho chúng ta.
• Không bị "vu oan" là đã gửi thông tin cho người nào đó.

Với hình thức khá ph biến hiện nay là truyền tin qua thư điện tử và không sử dụng các công cụ mã hoá, bảo mật cũng như chữ ký điện tử thì các tình huống nêu trên đều có thể xảy ra. Khi đó thì khỏi nói đến thương mại điện tử, chính phủ điện tử với nền quản lý hành chính điện tử, vv và vv.

 

Để đảm bảo rằng chỉ người cần nhận có thể đọc được thông tin mà ta gửi khi biết rằng trên đường đi, nội dung thông tin có thể bị theo dõi và đọc trộm, người ta sử dụng các thuật toán đặc biệt để mã hoá thông tin. Trong trường hợp này, trước khi thông tin được gửi đi, chúng sẽ được mã lại và kết quả là ta nhận được một nội dung thông tin "không có ý nghĩa" . Khi thông điệp bị theo dõi hoặc bắt giữ trên đường đi, để hiểu được thông tin của bạn, tin tặc phải làm một việc là giải mã nó. Thuật toán  mã hoá càng tốt thì chi phí cho giải mã đối với tin tặc càng cao. Khi chi phí giải mã cao hơn giá trị thông tin thì coi như bạn đã thành công trong vấn đề bảo mật.

 

Trong các trường hợp còn lại người ta dùng chữ ký điện tử. Việc ứng dụng chữ ký điện tử cũng như công nhận giá trị pháp lý của nó là điều kiện tiên quyết cho thương mại điện tử. Nếu như việc giả mạo chữ kỹ viết tay hoặc dấu là không đơn giản thì việc làm giả một đoạn thông tin nào đó là rất dễ dàng. Vì lý do đó bạn không thể quét chữ ký của mình cũng như con dấu tròn của công ty để chứng tỏ rằng tài liệu mà bạn truyền đi đúng là của bạn.

 

Các thuật toán mã hoá và tạo chữ ký điện tử hoạt động như thế nào

Mặc dù mã hoá đã được sử dụng từ thời xa xưa trong các hoạt động ngoại giao và quân sự nhưng chỉ sau khi bài báo "Lý thuyết truyền tin trong các hệ thống bảo mật" của Claude Shannon ra đời nó mới trở thành một môn khoa học. Trước đó các vấn đề về mã hoá, mật mã gần như là một môn "nghệ thuật".

 

Các thuật toán  mã hoá thông tin khá đa dạng nhưng có thể chia ra làm hai hướng chính. Một là sử dụng phương pháp đối xứng, theo đó người ta chỉ sử dụng một mật mã để mã hoá cũng như để giải mã thông tin.

Trong trường hợp này bạn phải đảm bảo làm sao để nội dung mật mã chỉ có hai người biết là người nhận và người gửi. Phương pháp mã hoá thông tin này có hai nhược điểm, một là trong trường hợp mật mã thay đổi, cần thay đổi đồng thời ở cả người gửi và người nhận, khi đó rất khó có thể đảm bảo được là chính bản thân mật mã không bị đánh cắp trên đường đi. Hai là nó không cho phép ta tạo ra chữ ký điện tử. Tiêu chuẩn hiện đại sử dụng thuật toán này là DES (Data Encryption Standard) được sử dụng khá phổ biến trong các ứng dụng thương mại khi cần bảo vệ các thông tin quan trọng nhưng không phải là tối mật. Lợi thế của nó là khá đơn giản và đòi hỏi công suất tính toán không cao.

 

Các vấn đề tồn đọng của thuật toán mã hoá đối xứng, sử dụng một khoá đã được giải quyết trong các công trình nghiên cứu gần đây. Người ta đã nghĩ ra thuật toán mới, cho phép bảo mật thông tin trên đường truyền mà không cần bảo mật "mật mã". Phương pháp này được gọi là phương pháp không đối xứng hay còn được gọi là mã hoá với khoá mở.

 

Nguyên lý hoạt động của phương pháp này như sau: Người nhận thông tin dùng công cụ chuyên dụng để tạo ra một bộ mã gồm hai khoá, một khoá để mã hoá thông tin, khoá này được chuyển cho người gửi, và khoá thứ hai để giải mã thông tin. Khoá này không phải truyền và phải được bảo mật cẩn thận. Người gửi thông tin sẽ sử dụng khoá mở mà người nhận truyền cho để mã hoá thông điệp. Sau khi nhận được thông điệp đã được mã hoá , người nhận mới dùng khoá mật của mình để giải mã. Như vậy tin tặc, cho dù có biết nội dung của khoá mở và nội dung của thông tin đã bị mã hoá vẫn không thể giải mã được thông tin. Lý do là tính ngược khoá mật từ khoá mở hoặc là rất khó khăn , nếu không nói là không thể. Điều này đạt đựơc trên nguyên tắc sử dụng các hàm đơn hướng trong toán học khi tính hàm y=f(x) là đơn giản thì ngược lại việc tính giá trị y khi đã biết x là rất khó khăn.

   

Cũng giống như vậy khi bạn cần "ký " một văn bản hoặc một tài liệu nào đó. Thủ tục đầu tiên là tạo ra chữ ký và thêm nó vào trong thông điệp. Có thể hình dung thủ tục này như sau. Phần mềm mã hoá mà bạn sử dụng sẽ đọc nội dung văn bản và tạo ra một chuỗi thông tin đảm bảo chỉ đặc trưng cho văn bản đó mà thôi. Bất kỳ một thay đổi nào trong văn bản sẽ kéo theo sự thay đổi của chuỗi thông tin này. Sau đó phần mềm đó sẽ sử dụng khoá mật của bạn để mã hoá chuỗi thông tin này và thêm nó vào cuối văn bản như một động tác ký (Bạn có thể để ý thấy là chúng ta hoàn toàn không mã hoá nội dung văn bản, chỉ làm động tác ký mà thôi) . Khi nhận được văn bản, người nhận lặp lại động tác tạo ra chuỗi thông tin đặc trưng, sau đó sử dụng khoá mở mà bạn đã gửi để kiểm tra chữ ký điện tử có đúng là của bạn không và nội dung thông điệp có bị thay đổi hay không. Thuật toán mã hoá không đối xứng đầu tiên và nổi tiếng hơn cả có tên gọi là RSA (được ghép từ chữ cái đầu tiên của tên ba tác giả là Rivest, Shamir, Adleman).

 

Các ứng dụng

Các nguyên tắc mã hoá nói trên được ứng dụng khá phổ biến trên thế giới. Đại đa số các trình duyệt web cũng như các chương trình quản lý thư điện tử đều cho phép người dùng mã hoá cũng như sử dụng chữ ký điện tử. Các trình duyệt web hiện đại đều cho phép sử dụng thuật toán mã không đối xứng với chiều dài khoá lên tới 1024 bit, đảm bảo an toàn gần như tuyệt đối cho các thông tin thương mại (để bẻ khoá này, siêu máy tính hiện đại nhất cũng cần đến vài năm).  Trong số các ứng dụng khác để bảo mật thông tin có thể kể đến chương trình PGP (pretty good privacy) nổi tiếng mà chính phủ Mỹ đã từng cấm xuất khẩu. Khi sử dụng chương trình này bạn có thể tạo ra, quản lý và lưu trữ các bộ mã mà không cần phải mua hoặc sử dụng mã do một công ty nào đó cung cấp như khi sử dụng các trình quản lý thư điện tử thông thường.

 

Cũng cần nói thêm, các thuật toán nổi tiếng đã nêu trên đều đã được công khai hoá và  việc tự tạo các ứng dụng mã hoá và chữ ký điện tử trên cơ sở DES và RSA không còn là điều phức tạp cho các lập trình viên .Ta chưa có thói quen bảo mật thông tin thì đúng hơn là thiếu ứng dụng.  

 

Một điều nữa, các thuật toán dù có đảm bảo đến đâu cũng chỉ dùng để chống kẻ gian mà thôi, người "ngay" đọc thông tin ngay trên máy bạn thì không có công cụ tin học nào giúp được bạn cả. Theo thống kê, đến 81% các vụ mất thông tin xuất phát từ nội bộ doanh nghiệp. Hãy để ý đến điều này!

 

Kết luận

Và đồng thời cũng là một lời cảnh báo với các doanh nhân và doanh nghiệp. Chúng ta đang hết sức bất cẩn trong vấn đề bảo mật thông tin thương mại. Tất cả các thư điện tử mà chúng ta nhận được hay gửi đi đều được lưu giữ nhiều lần trên các máy chủ và không có gì đảm bảo rằng nội dung bản sơ thảo hợp đồng hay thông tin kinh doanh mà chúng ta đang bàn với đối tác không rơi vào tay đối thủ cạnh tranh, và tệ hơn nữa , nó có thể bị thay đổi ngoài ý muốn của chúng ta. Bạn hãy sử dụng các công cụ bảo mật để mã hoá toàn bộ thông tin hay ít nhất cũng dùng chữ ký điện tử . Cũng hy vọng rằng các cơ quan chức năng của nhà  nước cũng quan tâm hơn đến vấn đề này , tạo ra các cơ sở pháp luật để việc việc ứng dụng các công cụ bảo mật không kéo theo sự vi phạm luật pháp . Chúng ta đang đứng trước ngưỡng cửa hội nhập vào nền kinh tế khu vực và kinh tế toàn cầu. Hãy bảo vệ các doanh nghiệp của ta trong môi trường cạnh tranh công nghệ cao hiện nay!

 

Thủy Thiên

hanhth@ssp.com.vn