Tình hình trong lĩnh vực bảo mật thông tin luôn thay đổi. Nỗ lực hack ngày càng trở nên vô lý và phức tạp. Kẻ xâm nhập phát triển các phương pháp đột nhập phức tạp và đa tầng. Trong tình huống này, việc cập nhật với công nghệ tiến bộ là một bước cơ bản và cần thiết trong bảo vệ dữ liệu số. Đó là lý do tại sao các Cơ quan Chứng nhận luôn nỗ lực phát triển các giải pháp mới và cải thiện các giải pháp hiện có, cho phép giữ an toàn thông tin trực tuyến ở mức cao nhất. Mật mã khóa công khai và chứng chỉ số phục vụ để cung cấp một cấp độ xác thực, quyền riêng tư và bảo mật truyền dữ liệu cá nhân mới không thể được duy trì chỉ bằng cụm mật khẩu và mật khẩu.
Cho đến nay, các thuật toán chính, RSA và DSA, đã trải nghiệm một ứng dụng rộng rãi trong lĩnh vực bảo mật Internet. Và sau hơn 30 năm thành công, các phím ECDSA hiện đại (Thuật toán Chữ ký số cong Elliptic) xuất hiện trên sân khấu.
DSA, RSA và ECDSA: nhìn lại
DSA (Thuật toán chữ ký số) là một thuật toán để tạo chữ ký số với các phương tiện của cặp khóa riêng / khóa công khai. Chữ ký được tạo bí mật nhưng có thể được xác định công khai. Điều này có nghĩa là chỉ một chủ đề thực sự có thể tạo chữ ký của tin nhắn bằng Khóa riêng, nhưng bất kỳ ai cũng có thể xác minh tính thỏa đáng của nó có Khóa công khai tương ứng. Thuật toán này đã được Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đưa ra vào tháng 8 năm 1991 và được công bố cùng với hàm băm SHA-1 như một phần của DSS (Tiêu chuẩn Chữ ký số) vào năm 1994 .
RSA (viết tắt của tên họ của nhà khoa học Ron Rivest , Adi Shamir và Leonard Adeld ), ngoài DSA, đã trở thành hệ thống mật mã đầu tiên áp dụng cho chữ ký số và mã hóa dữ liệu, mặc dù ý tưởng này lần đầu tiên được đưa ra ánh sáng vào năm 1978 . Thuật toán RSA bao gồm ba bước chính: tạo cặp khóa, mã hóa và giải mã. Khóa công khai được truyền qua kênh mở, trong khi Khóa riêng vẫn giữ bí mật. Dữ liệu, được mã hóa bằng Khóa riêng, chỉ có thể được giải mã bằng Khóa công khai, được liên kết về mặt toán học với Khóa riêng. RSA có thể được sử dụng để xác định nguồn gốc dữ liệu.
ECDSA (Thuật toán Chữ ký số Elliptic Curve) dựa trên DSA, một phần của Mật mã đường cong Elliptic, chỉ là một phương trình toán học. ECDSA là thuật toán, làm cho Mật mã Elliptic Curve trở nên hữu ích cho bảo mật. Neal Koblitz và Victor S. Miller đã độc lập đề xuất sử dụng các đường cong elip trong mật mã vào năm 1985, và hiệu suất rộng đã đạt được vào năm 2004 và 2005. Nó khác với DSA do thực tế là nó có thể áp dụng không phải trên toàn bộ số lượng hữu hạn trường nhưng đến một số điểm nhất định của đường cong elip để xác định cặp Khóa công khai / riêng tư.
Chứng chỉ ECC: ưu và nhược điểm
Là một tiêu chuẩn vàng cho đến nay, thuật toán khóa RSA là thuật toán được sử dụng rộng rãi nhất trong bảo mật kỹ thuật số. Tuy nhiên, theo xu hướng hiện đại của việc sử dụng thiết bị di động và thiết bị nhỏ gọn, ‘hiệu suất web thuần túy’ đứng đầu trong toàn bộ doanh nghiệp. Từ quan điểm này, kích thước vật lý của khóa là một câu hỏi chiếm ưu thế.
Các thuật toán khóa DSA và RSA yêu cầu kích thước khóa lớn hơn và có thể bị đánh bại bằng cách bao gồm một số lượng lớn. Khi nói đến ECDSA, vấn đề logarit rời rạc đường cong Elliptic (ECDLP) cần phải được giải quyết để phá khóa, và cho đến nay không có tiến triển lớn nào để đạt được điều này. Do đó, chứng chỉ ECC cung cấp giải pháp bảo mật tốt hơn và khó phá vỡ hơn bằng cách sử dụng các phương pháp ‘vũ phu’ thông thường của hacker.
Kích thước khóa ngắn hơn chắc chắn là một trong những lợi thế. Trong bảng dưới đây, chúng tôi đã so sánh các kích thước Khóa RSA và ECDSA để có bố cục tốt hơn.
| Sức mạnh bảo mật (bit) | Độ dài khóa công khai RSA (bit) | Độ dài khóa công khai ECDSA (bit) |
|---|---|---|
| 80 | 1024 | 160 |
| 112 | 2048 | 224 |
| 128 | 3072 | 256 |
| 192 | 7680 | 384 |
| 256 | 15360 | 512 |
Như được thấy từ bảng, để thiết lập kết nối bảo mật 256 bit giữa máy khách web và máy chủ web, khóa 15360 bit được sử dụng trong thuật toán RSA không đối xứng tiêu chuẩn, trong khi đường cong elip cần có khóa 512 bit cho kết nối tương đương. Chìa khóa càng ngắn, nó quay vòng càng nhanh. Để tuân thủ các yêu cầu về cường độ mã hóa ngày càng tăng – kích thước của khóa và chữ ký cũng tăng theo, và thời gian dành cho việc thực hiện một hoạt động mật mã cũng vậy. Rõ ràng từ bảng trên cho thấy tốc độ tăng nhanh hơn đối với RSA so với ECC. Những gì chủ yếu đi đằng sau tất cả các đề cập ở trên là:
- Nhu cầu CPU thấp hơn;
- Không gian vật lý được lấy bởi chứng chỉ SSL ECC;
- Băng thông;
- Sự tiêu thụ năng lượng;
- Cải thiện hiệu suất từ máy chủ đến trình duyệt;
Tất cả những điều mới lạ và chứng chỉ SSL ECC cũng không ngoại lệ, cần một khoảng thời gian nhất định để được triển khai, chấp nhận và hỗ trợ trên toàn cầu. Cho đến nay, một số phiên bản trình duyệt web cũ có vấn đề tương thích với chứng chỉ ECC . Khi nói đến các máy khách web hiện đại và cập nhật, có ít nhất hai đường cong được cung cấp bởi bộ B NSA được hỗ trợ, ví dụ P-256 và P-384.
Bên dưới các trình duyệt web và hệ điều hành sẽ hiển thị trang web với ECC SSL chính xác, một khi nó được kết nối đến tận gốc.
Hỗ trợ khách hàng web
| Máy khách web | Yêu cầu phiên bản tối thiểu |
|---|---|
| Mozilla Firefox | 2.0 |
| Google Chrome | 1.0 trên hệ điều hành tương thích ECC |
| Microsoft IE | 7 trên hệ điều hành tương thích ECC |
| Safari của Apple | 4 trên hệ điều hành tương thích ECC |
Hỗ trợ hệ điều hành
| HĐH | Yêu cầu phiên bản tối thiểu |
|---|---|
| Microsoft Windows | Windows Vista Windows 7 & 8 trả lời trên OS Root Store và Root Update Cơ chế |
| Hệ điều hành Apple | HĐH X 10.6 |
| Google Android | 4.0 |
| Red Hat Enterprise Linux | 6,5 |
Hỗ trợ máy chủ
| Máy chủ | Yêu cầu phiên bản tối thiểu |
|---|---|
| Máy chủ HTTP Apache | 2.2,26 |
| Nginx | 1.1.0 |
| máy chủ Windows | 2008 |
| Mèo Tom Apache | 1.1.30 |
| Dovecot | 2.2.5 |
| Máy chủ HTTP IBM | 8,0 w / PM80235 |
| Máy chủ web hệ thống Sun Java | 7,0 |
Điều đáng nói là Cơ quan cấp chứng chỉ Comodo (nay là Sectigo) đã tạo chứng chỉ gốc ECC có sẵn trong trình duyệt web từ năm 2008. Trước khi đưa ra quyết định cấp chứng chỉ ECC, nên tìm hiểu xem nó có tương thích với máy chủ web không môi trường cũng vậy. Sự hỗ trợ của một số nền tảng di động cũng yêu cầu thử nghiệm thêm. Thật không may, thông tin chính xác vẫn chưa có sẵn. Tuy nhiên, hầu hết các máy chủ web phổ biến của Microsoft và Apache đều cho phép hoạt động chứng chỉ ECC. Một giải pháp khả thi là cài đặt chứng chỉ SSL với các thuật toán chữ ký khác nhau để hỗ trợ các khả năng của khách hàng.
Để kết luận, chúng ta có thể nói rằng ECC thực sự là một sự cải tiến về mật mã hiện đại làm nền tảng cho các chứng chỉ SSL. Tăng hiệu suất, tính ổn định tấn công và thay thế khả thi cho các thuật toán tiền điện tử hiện có là một trong những lợi ích rõ ràng. Tuy nhiên, thừa nhận thực tế là thuật toán RSA đang lan rộng hiện nay, chúng tôi dự đoán một tương lai tươi sáng và tuyệt vời cho Mật mã EC.