Giao thức bảo mật tầng giao vận (TLS)

Máy tính gửi các gói dữ liệu trên khắp mạng Internet. Các gói dữ liệu này giống như những con chữ trong một phong thư và những người không liên quan có thể dễ dàng đọc được dữ liệu bên trong đó. Nếu dữ liệu được gửi là những thông tin công khai như một bài báo thì đó không phải là vấn đề lớn. Tuy nhiên, nếu dữ liệu là mật khẩu, số thẻ tín dụng hoặc email riêng tư thì việc để lộ thông tin sẽ rất nguy hiểm.

Giao thức bảo mật tầng giao vận (Transport Layer Security - TLS) bổ sung thêm một tầng bảo mật lên trên giao thức truyền tải TCP/IP. TLS sử dụng cả mã hóa đối xứng và mã hóa khóa công khai để gửi dữ liệu riêng tư một cách an toàn và thêm các tính năng bảo mật bổ sung như xác minh danh tính và phát hiện tin nhắn giả mạo.

TLS bổ sung thêm các bước bảo mật trong quá trình gửi dữ liệu bằng TCP/IP, do đó làm tăng

trong giao tiếp Internet. Tuy nhiên, độ trễ này là không đáng kể so với lợi ích bảo mật mà TLS mang lại.

(Lưu ý rằng TLS là giao thức kế nhiệm của giao thức SSL, vậy nên các thuật ngữ TLS và SSL thường được sử dụng thay thế cho nhau.)

Cơ chế vận hành

Hãy cùng tìm hiểu quá trình gửi dữ liệu an toàn bằng TLS từ máy tính này sang máy tính khác. Chúng ta gọi máy tính gửi dữ liệu là máy khách và máy nhận dữ liệu là máy chủ.

Quá trình bắt tay trong giao thức TCP

Vì TLS được xây dựng trên giao thức TCP/IP nên trước tiên, máy khách phải hoàn tất Quá trình bắt tay 3 bước TCP với máy chủ.

Khởi tạo TLS

Máy khách phải thông báo cho máy chủ rằng máy khách muốn thiết lập một kết nối TLS chứ không phải kết nối thông thường không bảo mật. Vì vậy, máy khách sẽ gửi kèm một dòng tin nhắn mô tả phiên bản giao thức TLS và các kỹ thuật mã hóa mà máy khách muốn sử dụng.

Máy chủ xác nhận giao thức

Nếu máy chủ không hỗ trợ các công nghệ mà máy khách yêu cầu, máy khách sẽ hủy bỏ kết nối. Điều này có thể xảy ra nếu máy khách đời mới cố gắng kết nối với một máy chủ đời cũ hơn.

Trong trường hợp máy chủ hỗ trợ phiên bản giao thức TLS và các tùy chọn khác mà máy khách yêu cầu, máy chủ sẽ phản hồi với một thông báo xác nhận, kèm theo một chứng thư số chứa khóa công khai của máy chủ.

Xác minh chứng thư

Chứng thư số của máy chủ là cách máy chủ xác nhận danh tính của mình, cho thấy máy chủ này chính là máy chủ mà máy khách muốn kết nối. Nếu máy khách không tin chứng thư đó hợp lệ, máy khách sẽ hủy bỏ kết nối vì máy khách không muốn gửi dữ liệu riêng tư đến kẻ mạo danh.

Ngược lại, nếu máy khách có thể xác minh chứng thư, máy khách sẽ tiếp tục chuyển sang bước tiếp theo.

Tạo khóa chung

Đến bước này, máy khách đã biết khóa công khai của máy chủ, vậy về mặt lý thuyết, máy khách có thể sử dụng phương pháp mã hóa khóa công khai để mã hóa dữ liệu bằng khóa công khai của máy chủ. Sau đó, máy chủ có thể giải mã dữ liệu bằng khóa riêng tư tương ứng của nó.

Tuy nhiên, mã hóa khóa công khai mất nhiều thời gian hơn mã hóa đối xứng do sử dụng nhiều các thuật toán phức tạp hơn. Vì vậy, nếu có thể, các máy tính sẽ ưu tiên dùng mã hóa đối xứng để tiết kiệm thời gian.

Trong thực tế, sử dụng mã hóa đối xứng là hoàn toàn khả thi! Các máy tính trước tiên sẽ sử dụng phương pháp mã hóa khóa công khai để tạo riêng một khóa chung và sau đó, chúng có thể sử dụng khóa chung này để mã hóa đối xứng các tin nhắn sau này.

Quá trình trên sẽ bắt đầu như sau. Máy khách gửi một thông điệp đến máy chủ có chứa khóa dự bị, khóa dự bị này đã được mã hóa bằng khóa công khai của máy chủ. Máy khách tạo ra khóa chung dựa trên khóa dự bị đó và lưu trữ khóa chung cục bộ (vì gửi khóa dự bị sẽ an toàn hơn là gửi trực tiếp khóa chung chính thức).

Máy khách cũng sẽ gửi thông điệp "Finished" (Hoàn tất) chứa nội dung được mã hóa bởi khóa chung.

Máy chủ xác minh khóa chung

Máy chủ nhận được khóa dự bị và tương tự như máy khách, máy chủ có thể tạo ra khóa chung dựa trên khóa dự bị. Sau đó, máy chủ dùng khóa chung này để giải mã thông điệp "Finished" (Hoàn tất). Nếu việc giải mã thất bại, máy chủ sẽ hủy kết nối.

Khi máy chủ thành công giải mã thông điệp từ máy khách bằng khóa chung, máy chủ sẽ gửi thông báo xác nhận cùng với thông điệp "Finished" (Hoàn tất) kèm theo nội dung đã được mã hóa.

Gửi dữ liệu an toàn

Cuối cùng, máy khách gửi dữ liệu riêng tư một cách an toàn đến máy chủ, bằng cách sử dụng phương pháp mã hóa đối xứng với khóa chung đó.

Thông thường, một máy khách cần gửi dữ liệu đến máy chủ nhiều lần giống như khi một người dùng điền thông tin vào các biểu mẫu trên nhiều trang của một trang web. Trong trường hợp đó, các máy tính có thể sử dụng quy trình rút gọn để thiết lập phiên làm việc bảo mật.

Bài tập vận dụng

Để thiết lập kết nối an toàn thông qua TLS, cả máy khách và máy chủ đều phải trải qua rất nhiều bước.

Hãy chọn các bước và điền theo đúng trình tự trong phần dưới đây:

Máy khách và máy chủ hoàn thiện quá trình bắt tay trong giao thức TCP
Máy khách gửi dữ liệu đã mã hóa bằng khóa chung

TLS ở mọi nơi

TLS được sử dụng cho nhiều hình thức trao đổi thông tin an toàn trên mạng Internet, ví dụ như gửi email hay tải tệp tin bảo mật. Trong đó, giao thức này được ứng dụng nhiều nhất để bảo mật quá trình duyệt web (HTTPS).

TLS cung cấp một lớp bảo mật lên trên TCP/IP, nhờ sử dụng cả khóa công khai và phương pháp mã hóa đối xứng. TLS đang ngày càng trở nên thiết yếu trong việc bảo mật dữ liệu riêng tư khi được truyền tải qua Internet.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Bạn có câu hỏi nào về chủ đề này không? Chúng tôi rất sẵn sàng hỗ trợ bạn — hãy để lại câu hỏi ở mục câu hỏi phía dưới nhé!

Nếu đang đọc bài đọc này trên ứng dụng dành cho thiết bị di động hoặc trong cửa sổ bật lên, bạn sẽ không thấy mục hỏi đáp ở phía dưới. Nếu bạn đang sử dụng ứng dụng dành cho thiết bị di động, hãy truy cập vào bài đọc này từ trình duyệt. Nếu đang ở trong cửa sổ bật lên, hãy nhấn vào tiêu đề bài đọc ở trên cùng.

Bạn muốn tham gia vào cuộc thảo luận?

Đăng nhập

Sắp xếp theo:

Chưa có bài viết nào.

Bạn có hiểu Tiếng Anh không? Bấm vào đây để thấy thêm các thảo luận trên trang Khan Academy Tiếng Anh.