Nội dung chính
An toàn Internet
Khóa học: An toàn Internet > Chương 1
Bài học 12: Giao thức Internet an toànChứng thư số
Giao thức TLS hoạt động dựa trên mã hóa khóa công khai. Máy tính gửi yêu cầu sẽ sử dụng khóa công khai của máy tính nhận yêu cầu khi mã hóa dữ liệu. Tuy nhiên, trước khi quá trình thiết lập khóa và mã hóa xảy ra, giao thức TLS yêu cầu các máy tính hoàn thành một bước quan trọng để đảm bảo bảo mật, đó là máy tính gửi phải xác minh tính hợp lệ của khóa công khai.
Chứng thư số, hay còn được gọi là chứng thực khóa công khai hay chứng thư nhận dạng, là một chứng thư điện tử dùng để chứng minh quyền sở hữu một khóa nào đó dùng để mã hóa.
Tầm quan trọng của chứng thư
Điều gì sẽ xảy ra nếu giao thức TLS không có bước xác minh chứng thư?
Tin tặc đã nghĩ ra rất nhiều cách để chặn và can thiệp vào yêu cầu được gửi từ máy tính này đến máy tính khác trên mạng Internet, chẳng hạn như thông qua điểm truy cập giả mạo.
Từ đó, chúng có thể triển khai một cuộc "tấn công xen giữa" (tiếng Anh: man-in-the-middle attack - MITM).
Hình thức tấn công này được thực hiện như sau. Đầu tiên, trong quá trình thiết lập kết nối an toàn với giao thức TLS, kẻ tấn công gửi cho máy khách khóa công khai của chúng thay vì khóa công khai của máy chủ.
Sau đó, khi máy khách mã hóa dữ liệu bằng khóa công khai mà máy khách đã nhận được, thực chất là máy khách đang sử dụng khóa công khai của kẻ tấn công để mã hóa. Do đó, kẻ tấn công có thể giải mã tin nhắn được mã hóa, thay đổi tin nhắn theo cách chúng muốn và mã hóa lại bằng khóa công khai của máy chủ, trước khi gửi dữ liệu đến máy chủ.
Để ngăn chặn một cuộc tấn công xen giữa, máy khách cần xác minh bên sở hữu khóa công khai. Chứng thư số chính là công cụ giúp xác thực điều này. Tuy nhiên, nếu bất kì ai cũng có thể tạo ra chứng thư số, thì liệu máy khách có thể tin vào tính hợp pháp của chứng thư này hay không? Trong giao thức TLS, máy khách chỉ tin vào những chứng thư được cấp bởi các tổ chức có thẩm quyền.
Cơ quan có thẩm quyền cấp chứng thư
Một máy chủ muốn tạo kết nối an toàn thông qua giao thức TLS cần đăng ký với cơ quan có thẩm quyền để được cấp chứng thư. Cơ quan này sẽ xác minh chủ sở hữu của tên miền, ký xác nhận chứng thư và cấp khóa công khai, sau đó cung cấp lại chứng thư đã ký cho máy chủ.
Khi máy khách xác minh chứng thư, máy khách sẽ thấy rằng cơ quan cấp chứng thư đã xác minh tính xác thực của khóa công khai. Tuy nhiên, máy khách vẫn cần cân nhắc thêm một yếu tố khác, đó là liệu cơ quan cấp chứng thư này có đáng tin không?
Máy khách thường được cung cấp một danh sách các cơ quan cấp chứng thư đáng tin cậy. Ví dụ, đây là danh sách cơ quan cấp chứng thư mà điện thoại iPhone chạy hệ điều hành iOS 10 tin tưởng.
Về phía người sử dụng các sản phẩm và dịch vụ của Apple, họ sẽ cần phải tin tưởng rằng Apple sẽ liên tục theo dõi và cập nhật danh sách đó để đảm bảo rằng mỗi cơ quan cấp chứng thư đều đang xác minh tên miền một cách đúng đắn.
Như vậy, sự tín nhiệm sẽ đi từ người dùng, đến máy khách, cơ quan cấp chứng thư và cuối cùng là máy chủ:
Ở mỗi cấp trong chuỗi tín nhiệm này, sự tin cậy đều có khả năng bị phá vỡ. Nếu người dùng không tin tưởng máy khách, họ có thể ghi đè lên danh sách các cơ quan cấp chứng thư đáng tin cậy được cài mặc định trong máy khách. Nếu một máy khách không còn tin tưởng vào cơ quan cấp chứng thư, cơ quan này sẽ bị xóa khỏi danh sách tín nhiệm của máy khách. Tương tự, nếu cơ quan cấp chứng thư nhận thấy hành vi đáng ngờ từ máy chủ, cơ quan này có thể thu hồi chứng thư đã cấp.
Cơ quan cấp chứng thư trung gian
Trong thực tế, các cơ quan cấp chứng thư được phân thành nhiều cấp độ: cơ quan cấp chứng thư nguồn và cơ quan cấp chứng thư trung gian.
Cơ quan cấp chứng thư nguồn không trực tiếp cấp bất kỳ chứng thư số nào cho máy chủ. Cơ quan này chỉ cấp chứng thư số cho cơ quan trung gian thay mặt nó. Sau đó, cơ quan cấp chứng thư trung gian có thể cấp chứng thư số cho một cơ quan trung gian khác hoặc cấp trực tiếp cho máy chủ.
Vậy nên, ta lại có thêm một chuỗi tín nhiệm, đi từ cơ quan cấp chứng thư nguồn, đến các cơ quan trung gian, rồi tới máy chủ:
Sự phân cấp của các cơ quan cấp chứng thư giúp tăng tính bảo mật của hệ thống. Nếu cơ quan cấp chứng thư nguồn phát hiện ra cơ quan cấp chứng thư trung gian đã bị kẻ tấn công xâm nhập, thì họ sẽ vô hiệu hóa các chứng thư từ cơ quan trung gian đó, trong khi các chứng thư tới từ cơ quan trung gian khác của họ vẫn sẽ có hiệu lực.
🔍 Bạn có thể thấy sự phân cấp này khi xem chứng thư của một trang web sử dụng kết nối riêng tư trong trình duyệt. Khi bạn nhấp vào hình ổ khóa bên cạnh URL, trình duyệt sẽ hướng dẫn bạn cách kiểm tra chứng thư.
🙋🏽🙋🏻♀️🙋🏿♂️Bạn có câu hỏi nào về chủ đề này không? Chúng tôi rất vui lòng được hỗ trợ bạn — hãy để lại câu hỏi ở mục câu hỏi phía dưới nhé!
Tham gia cuộc thảo luận?
Chưa có bài đăng nào.