(+84) 463.28.7979

Google bổ sung một kỹ thuật mã hóa mới


Dịch vụ bảo mật HTTPS của Google sẽ được bổ sung một kỹ thuật mã hóa đặc biết nhằm giảm thiểu những cuộc tấn công sử dụng phương pháp “khôi phục các khóa” trong tương lai.

https

Google đã chỉnh sửa lại phương pháp mã hóa được sử dụng bới dịch vụ HTTPS đã được kích hoạt gồm các dịch vụ Gmail, Docs và Google+. Động thái này nhằm chống lại việc bị giải mã các luồng gói tin  khi công nghệ cấp cao trong tương lai có thể làm điều này.

Phần lớn  các giao thức HTTPS ngày nay sử dụng một khóa riêng (private key) được hiểu bởi duy nhất người sở hữu tên miền để sinh các phiên khóa (session key) nhằm mã hóa các luồng giao dịch giữa máy chủ và máy trạm.

“Trong 10 năm tới, khi các máy tính đủ nhanh, một đối thủ nào đó có thể phá hoại máy chủ chứa các khóa riêng và giải  mã các luồng thư điện tử của hiện tại” – Adam Langley, thành viên của đội bảo mật Google phát biểu trên blog.

Google đã triển khai một phương pháp mã hóa nhằm sử dụng các khóa riêng khác nhau để mã hóa các phiên làm việc rồi xóa chúng sau một khoảng thời gian định sẵn. “Với phương pháp này, một kẻ tấn công để phá vỡ hoặc ăn cắp các khóa đơn sẽ không thể khôi phục lại các luồng thư điện tử cách đó hàng tháng trời” – Langley cho biết thêm.

Trên thực tế, giao thức SSL không được thiết kế để hỗ trợ trao đổi khóa của việc chuyển tiếp bí mật mặc định. Các kỹ sư của Google đã thiết kế một phần mở rộng cho bộ công cụ thông dụng OpenSSL. Phần mở rộng này được tích hợp vào phiên bản OpenSSL 1.0.1.

Giao thức Google HTTPS sử dụng chuẩn ECDHE_RSA để trao đổi khóa và chuẩn mật mã RC4_128 để mã hóa. Thật không may, việc kết hợp này chỉ hỗ trợ cho trình duyệt Firefox và Chrome trong thời điểm hiện tại. Điều này đồng nghĩa với việc nếu bạn sử dụng Internet Explorer (IE) sẽ không được bảo vệ bởi phương pháp bảo mật mới này.

Thực tế thì Internet Explorer không hỗ trợ một kết hợp của EDH (Ephemeral Diffie–Hellman) trao đổi khóa và RC4. Google chọn ECDHE thay cho EDH do liên quan đến hiệu suất của hệ thống. Google có kế hoạch hỗ trợ cho IE trong tương lai và hy vòng rằng điều này sẽ khuyến khích các dịch vụ khác có sử dụng HTTPS để thực thi việc chuyển tiếp bí mật và trở thành chuẩn mã hóa luồng giao dịch cho các dịch vụ trực tuyến.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>