Bất chấp các trường hợp gia tăng hoạt động gian lận trong không gian tiền điện tử, vụ hack Binance đã gây bất ngờ lớn cho nhiều người trong cộng đồng tiền điện tử. Vì đó là sàn giao dịch uy tín và cũng là sàn giao dịch tiền điện tử phổ biến nhất, nên ít ai lường trước được rằng sự cố này sẽ xảy ra. Hiệu ứng này đã khiến các sàn giao dịch khác như Koinex đánh giá lại các biện pháp bảo mật của họ.
Một số báo cáo cho thấy những kẻ lừa đảo đã xây dựng những website cũng như giả mạo đường URL giống như website Bitfinex và Binance. Vô tình chung các nhà giao dịch tiền điện tử sẽ tốn khá nhiều chi phí khi họ sử dụng thông tin đăng nhập của họ để đăng nhập vào các trang web đó.
Ý nghĩa của Chứng chỉ SSL trong không gian tiền điện tử
Mặc dù điều này không xảy ra quá nhiều, nhưng niềm tin thường là yếu tố quan trọng giúp xây dựng sự hài hòa trong mối quan hệ giữa doanh nghiệp / tập đoàn và khách hàng của họ. Nếu bạn đang điều hành một doanh nghiệp / dự án trực tuyến (ví dụ hoàn hảo – nền tảng Crypto) yêu cầu chuyển tiền để đổi lấy sản phẩm / dịch vụ, bạn cần tạo một môi trường an toàn nơi khách hàng tiềm năng của bạn cảm thấy thoải mái khi kinh doanh với bạn.
Nhay cả không dùng tiền điện tử, người dùng cũng sẽ kiểm tra xem có khóa màu xanh lá cây nhỏ nào không (trong phần HTTP / URL) để báo hiệu rằng trang web được bảo mật bằng chứng chỉ SSL. Đó là bởi vì Lớp cổng bảo mật (SSL) từ lâu đã được coi là mảnh ghép cuối cùng bảo vệ thông tin nhạy cảm của khách hàng qua Internet.
Giao thức SSL được Netscape giới thiệu vào năm 1994 và là nhân tố chính thúc đẩy thành công thương mại điện tử. Trong trường hợp bạn không quen thuộc với những điều cơ bản của SSL, bạn nên biết rằng đó là công nghệ bảo mật (bằng cách thiết lập các liên kết được mã hóa) kết nối giữa bạn với tư cách là khách hàng và máy chủ của trang web bạn đang truy cập.
Kinh doanh trong lĩnh vực thương mại điện tử yêu cầu khách hàng của mình bắt buộc phải cung cấp số an sinh xã hội, số thẻ tín dụng và sử dụng thông tin đăng nhập để mua hàng trong trang web của họ. Do đó, SSL là điều cần thiết để truyền dữ liệu của khách hàng từ trình duyệt của họ đến máy chủ của bạn một cách an toàn. SSL mã hóa dữ liệu này để kẻ tấn công không thể sử dụng dữ liệu của khách hàng của bạn một cách gian lận trong trường hợp họ có thể chặn dữ liệu đó.
Mặc dù chứng chỉ SSL có các trang web được bảo mật liên tục và cho phép trao đổi thông tin an toàn, các hệ thống của nó đã được ghi nhận là nguồn của bộ dụng cụ lừa đảo làm tê liệt các trao đổi tiền điện tử. Gần đây, nhiều nền tảng đã trải qua các trường hợp lỗ hổng gia tăng giúp các tin tặc đánh cắp thông tin quan trọng cũng như các tài nguyên liên kết. Chẳng hạn, lỗi Heartbleed, một lỗ hổng nghiêm trọng, đã mở đường cho người dùng trái phép truy cập thông tin được bảo vệ. Những sai sót như vậy đã gây ra sự mất niềm tin đáng kể vào SSL, và những người đam mê công nghệ và chuyên gia đã bắt đầu coi blockchain là sự thay thế tiềm năng cho SSL, nhưng liệu có thể?
Mối quan hệ giữa các chứng chỉ Blockchain và SSL
Nhìn vào cơ sở hạ tầng của công nghệ blockchain, bạn sẽ nhận thấy rằng nó có phần giống với Chứng chỉ SSL vì nó cũng được sử dụng để xác thực và bảo mật các giao dịch kỹ thuật số, nhưng nó thực sự giả. Tuy nhiên, không giống như Chứng chỉ SSL, khả năng của công nghệ blockchain vượt xa việc đảm bảo các giao dịch kỹ thuật số một mình. Công nghệ blockchain được sử dụng trong xác thực và bảo mật các giao dịch kỹ thuật số được gọi là Chứng chỉ xác thực có nguồn gốc Blockchain (BOCA). Giống như SSL, BOCAs cũng cho phép người dùng chuyển thông tin kỹ thuật số một cách an toàn và bảo mật trên các trang web. Đây thực sự là điểm tương đồng duy nhất giữa các chứng chỉ blockchain và SLL vì cả hai đều sử dụng các giao thức khác nhau để đạt được bảo mật.
Các giao thức BOCA bao gồm các cơ chế tinh vi để xác thực người dùng và bảo vệ thông tin cá nhân của họ. Đầu tiên, Cơ sở hạ tầng bảo mật không khóa (KSI) lưu trữ băm dữ liệu trên các khối và chạy thuật toán băm để xác minh. Thứ hai, BOCA không tích hợp Cơ sở hạ tầng khóa công khai (PKI) trong hệ thống của mình dưới dạng SSL. PKI đã được xác định là dễ bị tổn thương trước các cuộc tấn công trung gian và DDoS; do đó, do BOCA không bao gồm quá trình này, điều đó có nghĩa là mọi thao tác dữ liệu trong hệ thống có thể dễ dàng được xác định do hàm băm ban đầu vẫn sẽ có sẵn trên các nút khác được gắn vào hệ thống.
Do đó, bảo mật đạt được thông qua công nghệ blockchain vì thế vượt xa mã hóa bất đối xứng và lưu trữ các khóa công khai. Không giống như Chứng chỉ SLL có thể bị xâm phạm và cung cấp quyền truy cập vào thông tin nhạy cảm, BOCAs là bằng chứng giả mạo nhờ vào cơ sở hạ tầng blockchain cơ bản. Ngoài ra, BOCA có một Cơ quan trung ương duy nhất được gọi là DID (ID phân cấp), không giống như các SSL có nhiều CA.
Các lỗ hổng trong hệ thống SSL
Nhiều tổ chức cấp cao, bao gồm Viện Khoa học, Công nghệ và Nghiên cứu Phát triển Quốc gia và Google đã phát hiện ra những lỗ hổng nghiêm trọng trong Hệ thống SSL, khiến thông tin nhạy cảm của hàng triệu người dùng gặp rủi ro. Google phát hiện ra rằng cơ quan cấp chứng chỉ trung gian đã cấp chứng chỉ trái phép cho nhiều tên miền của Google. Cơ quan có thẩm quyền (MC Holdings) đã cấp chứng chỉ cho các tên miền của Google mặc dù không chịu trách nhiệm về các tên miền đó. Đây là một phần mộ được đặt lại cho tính toàn vẹn của chứng chỉ SSL. Rõ ràng, Cơ quan An ninh Quốc gia (NSA) cũng được ghi nhận là có thể truy cập hệ thống khi cần thiết.
Các phiên bản SSL và lỗ hổng của chúng
SSL 2.0 – Phiên bản đầu tiên của SSL (Được phát hành vào tháng 2 năm 1995)
- Nó thiếu sự bảo vệ hoặc bảo mật cho cái bắt tay có nghĩa là cuộc tấn công giữa chừng có thể không bị phát hiện
- Nó sử dụng Weak MAC Construction sử dụng hàm băm MD5, khiến nó dễ bị tấn công mở rộng
- Nó giả định một dịch vụ duy nhất và chứng chỉ miền cố định xung đột với tính năng lưu trữ ảo trong các máy chủ web
SSL 3.0 (Được phát hành vào năm 1996)
- Nó hoạt động cho đến năm 2014 khi nhóm bảo mật Google phát hiện ra lỗ hổng bảo mật lớn
- Nó có quá trình phụ thuộc quá nhiều vào Chức năng băm MD5, được coi là kém an toàn và không chống va chạm
Lưu ý: Nâng cấp giao thức SSL tiếp theo sau khi SSL 3.0 được đổi thành Transport Security Layer (TLS) vào năm 1999
Phán quyết: Tại sao blockchain được đề xuất thay thế SLL tiềm năng
Đáng ngạc nhiên, hầu hết các chuyên gia FinTech đều khuyên dùng blockchain, mặc dù có tỷ lệ bất an cao đáng báo động trong không gian tiền điện tử, như một giải pháp tiềm năng để khắc phục tính nhạy cảm được trình bày trong hệ thống SSL. Tranh cãi, điều này không gây sốc bởi vì, sau tất cả, công nghệ blockchain sở hữu nhiều tính năng bảo mật hơn chứng chỉ SSL. Điều quan trọng, điều quan trọng là không liên kết các rủi ro bảo mật tồn tại trong vũ trụ tiền điện tử với công nghệ blockchain.
Cả cộng đồng và các nhà phê bình tiền điện tử đều lên án tiền điện tử là một trong những phát minh đột phá nhất trong lĩnh vực tài chính nhưng lại coi thường các công nghệ cơ bản (blockchain). Khi được triển khai trong bảo mật kỹ thuật số, blockchain cung cấp xác thực đáng tin cậy của người dùng và thiết bị mà không nhất thiết phải dựa vào mật khẩu.
Mặt khác, các hệ thống SSL sử dụng mã hóa đầu cuối, không bao gồm dữ liệu meta dẫn đến rò rỉ thông tin nhạy cảm. Tuy nhiên, điều này có thể được ngăn chặn bằng cách sử dụng công nghệ blockchain vì siêu dữ liệu được sử dụng để liên lạc thường nằm rải rác trong sổ cái phân tán, do đó ngăn chặn thông tin được thu thập tại một điểm tập trung, từ đó ngăn chặn rò rỉ dữ liệu và gián điệp mạng. Ngoài ra, công nghệ blockchain cho phép các bên riêng lẻ tạo các khóa mật mã duy nhất chắc chắn có thể đi một chặng đường dài để xác minh thông tin và đảm bảo liên lạc an toàn.
Mặc dù blockchain được dự kiến là sự thay thế phù hợp nhất cho chứng chỉ SSL, các dự án / nền tảng Crypto sử dụng các cơ chế của nó phải tuân thủ các quy định bắt buộc phải tuân thủ KYC (Know your customer) cũng như luật AML (chống rửa tiền). Ngoài ra, công nghệ blockchain (có tính năng vượt trội là ẩn danh) không thể hoạt động với cùng năng lực với Cơ quan Trung ương (CA) có vai trò xác minh rằng chủ sở hữu chứng chỉ là hợp pháp. Sự tin tưởng vào người ra quyết định là rất quan trọng để xây dựng niềm tin vào toàn bộ hệ thống và công nghệ blockchain không thực hiện được điều đó.
Blockchain có thể được tích hợp với SSL không?
Có một số chứng chỉ SSL dựa trên blockchain trên thị trường đã được đưa ra và hoạt động để đạt được xác minh bằng cách tạo sự đồng thuận giữa các bên khác nhau. Các chứng chỉ này loại bỏ yếu tố con người (CA) khỏi các giao dịch kỹ thuật số, do đó cung cấp xác thực mạnh hơn. Bản chất phân tán và phi tập trung của Chứng chỉ SSL dựa trên blockchain xác minh chính xác tính toàn vẹn của các giao dịch kỹ thuật số, khiến cho không thể khởi động một cuộc tấn công mạng. Ví dụ về các chứng chỉ này bao gồm:
REMME – Đây là một hệ thống dựa trên blockchain, gán chứng chỉ SSL cho một thiết bị riêng lẻ như điện thoại thông minh hoặc máy tính và sau đó lưu trữ thông tin chứng chỉ bằng cơ sở dữ liệu an toàn, hỗ trợ blockchain.
DNSChain – DNS dựa trên blockchain và máy chủ HTTP có khả năng duy nhất để tăng cường bảo mật HTTPS.
Dòng dưới cùng
Các trình duyệt web có uy tín như Google Chrome và Mozilla Firefox, đã khiến các trang web bắt buộc phải sử dụng mã hóa SSL / TLS trong nỗ lực xây dựng một mạng internet an toàn hơn. Tuy nhiên, trong khi Chứng chỉ SSL trong một thập kỷ đã được sử dụng để cung cấp bảo mật và quyền riêng tư liên lạc qua Internet, hệ thống thiếu sót của nó khiến người dùng có nguy cơ bị gián điệp mạng. Trong khi đó, ngay cả khi blockchain có vẻ như là sự thay thế tốt nhất, thì cũng không cần phải có sự tiếp xúc của con người để xác minh tính hợp pháp của người dùng.
Do đó, thật an toàn khi chỉ ra rằng, nếu được triển khai chính xác, công nghệ blockchain có thể khắc phục các lỗ hổng của chứng chỉ SSL và củng cố hệ thống bảo mật cho người dùng khi trực tuyến. Tuy nhiên, điều quan trọng là các nhà phát triển blockchain thể hiện mức độ ổn định cao của công nghệ trong việc duy trì bảo mật kỹ thuật số và phân cấp niềm tin. Có thể sai khi vội vàng loại bỏ người ra quyết định CA và thay thế bằng hệ thống hỗ trợ blockchain mà không cần nghiên cứu và điều tra kỹ lưỡng về tất cả các kết quả có thể xảy ra trong trường hợp bị tấn công mạng.