| Trong vài tuần qua, bẻ khóa đã xuất hiện trong các công nghệ mã hóa mà các tổ chức có uy tín. Chúng bao gồm các lỗ hổng trong các tập tin cookie được bảo vệ bằng HTTPS và cuộc tấn công thẻ thông minh RFID hồi tuần trước.
Những điều này không phải là quá bất ngờ. Các mật mã có thể bị tổn hại vì các phương pháp và các công cụ tấn công đã được cải thiện và thông minh hơn. Với đủ thời gian, tất cả các thuật toán mã hóa tuyệt vời ngày nay sẽ bị bẻ khóa trong ngày mai. Đó là lý do tại sao tất cả các quản trị viên an ninh cần phải đảm bảo độ an toàn cho mật mã của doanh nghiệp của họ.
Một nhóm các nhà khoa học Đức đã chứng minh một cuộc tấn công RFID gần đây. Thông qua đó, họ đã có thể hoàn toàn nhân bản các loại thẻ bảo mật từ tính được sử dụng để cung cấp cho nhân viên trong các tòa nhà công ty hoặc chính phủ - bao gồm cả NASA - và một sự thay thế cho vé hàng ngày trên xe buýt và tàu điện ngầm. Để thực hiện một cuộc tấn công như vậy, các thủ phạm cần phải sở hữu thẻ mục tiêu. Kỹ thuật này sử dụng những sự thay đổi của điện áp trong một cuộc tấn công "side channel" mật mã để tiết lộ bí mật khóa mã hóa 3DES 112-bitcủa thẻ.
Nhà cung cấp thẻ RFID, Mifare, đã thông báo về cuộc tấn công từ sáu tháng trước. Tin tốt là hầu hết bọn tội phạm không có chuyên môn và có đủ trang thiết bị để thực hiện thành công cuộc tấn công. Ngay bây giờ, mối đe dọa thực sự là những kẻ tấn công chuyên dụng nhắm mục tiêu cụ thể vào các công ty có giá trị cao. Trong hầu hết trường hợp, có những cách dễ dàng hơn để thỏa hiệp các nạn nhân nhằm mục đích truy cập thông tin nếu không được bảo vệ.
Đáng chú ý là mã hóa 3DES đã được tiêu chuẩn hóa vào năm 1998, xảy ra cùng một năm với bản thay thế chính thức của nó, Advanced Encryption Standard (AES), được tạo ra. AES được tiêu chuẩn hóa vào năm 2001. Người ta vẫn chưa hiểu rõ lý do tại sao các thẻ mã hóa hiện đại vẫn còn đang sử dụng 3DES; có những bản nâng cấp và thay thế chấp nhận được sẵn có, từ cùng một nhà cung cấp.
Mặc dù vậy, AES đã bắt đầu có dấu hiệu suy yếu trong việc chống lại các cuộc tấn công mã hóa. Có thể các chuyên gia an ninh và NIST (Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ) sẽ công bố thay thế AES trước khi thuật toán mật mã được xem là vô dụng đối với việc bảo vệ.
Trong hoàn cảnh này, các quản trị viên an ninh cần phải biết về các khuyến nghị mã hóa mới nhất. Dưới đây là những câu hỏi tốt để yêu cầu về môi trường an ninh của tổ chức của bạn:
* Tiêu chuẩn thuật toán mật mã và thuật toán mã hóa nào được thực hiện trong các sản phẩm và dịch vụ mã hóa và xác thực tại công ty của bạn? Bạn có biết tất cả không?
· Bạn có yêu cầu cụ thể về các mật mã thường được chấp nhận và độ dài của mã khoá?
· Trong số các sản phẩm và dịch vụ khác mà bạn sử dụng, cái nào có thể được coi là mật mã yếu?
· Công ty của bạn có một chính sách ngăn cản việc sử dụng và thực hiện các sản phẩm và dịch vụ có chứa các thuật toán mã hóa yếu kém hoặc không rõ hay không?
· Kích thước của thuật toán mã hóa tối thiểu để bảo vệ dữ liệu có tác động từ mức vừa phải trở lên là bao nhiêu?
· Kích thước của mã khóa có được kéo dài theo thời gian không vì các cuộc tấn công làm suy yếu kích thước của các mã khóa nhỏ hơn?
Để giữ cho doanh nghiệp của bạn an toàn, bạn cần một chính sách an ninh chủ động khuyến khích các thuật toán mã hóa mạnh mẽ, chấp nhận được (mã hóa, xác thực), và thực hiện kiểm toán và giám sát.
Theo Tcbcvt
|