PGP – giao thức bảo mật đang bị khuyến cáo ngừng sử dụng
Diễn đàn - Ngày đăng : 14:13, 05/09/2018
Nó được tạo ra bởi nhà khoa học máy tính Phil Zimmerman vào năm 1991, người đã quyết định đặt tên nó theo một cửa hàng tạp hóa địa phương - Ralph's Pretty Good Grocery. Sau đó nó được công bố công khai cho mọi người sử dụng vào năm 1993 khi Zimmerman phát hành công nghệ cho bất cứ ai muốn sử dụng nó ở Mỹ thông qua FTP.
Khi chính phủ Mỹ cố gắng can thiệp vào thành công của PGP ở nước ngoài, họ tin rằng công nghệ này đã được xuất khẩu mà không có giấy phép xuất khẩu liên quan, Zimmerman đã phát hành bản cập nhật năm 1996 thông qua công ty mà ông đã thành lập, PGP Inc.
Mười bốn năm sau, Zimmerman đã bán PGP Inc để bảo mật cho Tập đoàn khổng lồ Symantec, và chính nhà phát triển phần mềm diệt virus hiện chịu trách nhiệm cập nhật PGP để đảm bảo nó đủ để bảo vệ thông tin liên lạc qua email. Công ty cũng đã phát triển một biến thể nguồn mở - OpenPGP, được sử dụng cùng với phiên bản được cấp phép.
PGP được sử dụng để làm gì?
PGP được thiết kế chủ yếu để mã hóa lưu lượng email tuy nhiên nó có thể được sử dụng để bảo vệ một loạt các giao tiếp dựa trên văn bản khác, bao gồm SMS, thư mục và phân vùng đĩa. Nó cũng được sử dụng như một cách để bảo vệ các chứng chỉ số hóa.
PGP hoạt động trên một số tiêu chuẩn khác nhau, phổ biến nhất trong số đó là tiêu chuẩn OpenPGP nguồn mở. Điều này được sử dụng rộng rãi để bảo đảm các ứng dụng trên máy tính để bàn như Microsoft Outlook và Apple Mail trên Mac. Ngoài ra còn có một plugin do Google phát triển cho phép sử dụng tiêu chuẩn trên trình duyệt Chrome của nó.
PGP hoạt động như thế nào?
PGP hoạt động bằng cách đặt các lớp bảo mật được mã hóa ở đầu nội dung dựa trên văn bản của ứng dụng.
Trong trường hợp ứng dụng email, PGP đóng chặt nội dung của thư bằng thuật toán mã hóa, xáo trộn văn bản theo cách mà nếu nó bị chặn thì sẽ không thể đọc được.
Với nội dung của một email đã được mã khóa, chìa khóa tương ứng cần thiết để mở khóa mã đó được mã hóa chính nó, thường sử dụng khóa công khai do RSA hoặc Diffie-Hellman cung cấp. Thư được mã hóa, cùng với khóa được mã hóa của nó, sau đó được gửi tới người nhận.
Khi chuyển đến email của người nhận, ứng dụng sẽ sử dụng khóa riêng để mở khoá mã hóa của email và sau đó giải mã thông báo. Đây là tất cả những điều được thực hiện ngay lập tức, mà không có đầu vào của người dùng.
PGP có an toàn không?
Đã có một số tranh cãi về mức độ an toàn của PGP. Trong năm 2011, các nhà nghiên cứu phát hiện ra rằng các khóa mã hóa ngắn (32 bit hoặc nhỏ hơn) không an toàn, theo một số tuyên bố rằng chúng không cung cấp bảo mật nào có hiệu lực cả.
Điều này là do với các GPU hiện đại, thật dễ dàng cho các tin tặc để tìm ra ID khóa “va chạm” (tức là khớp) nếu khóa chính được đề cập ngắn. Tuy nhiên, điều này không có nghĩa là PGP thiếu sót nghiêm trọng - nó chỉ có nghĩa là một khóa dài (lớn hơn 32 bit) phải luôn được sử dụng. Nếu đúng, thì PGP hoạt động như dự định và an toàn - ít nhất là bây giờ.
Gần đây, các nhà nghiên cứu đã phát hiện ra một lỗ hổng quan trọng trong PGP (và cũng là giao thức mã hóa S/MIME) có thể cho phép tin tặc đọc văn bản thuần túy được gửi trong email.
Vấn đề được phát hiện bởi giáo sư về bảo mật máy tính tại Đại học Khoa học ứng dụng Münster Sebastian Schinzel, người đã tiết lộ lỗ hổng (biệt danh EFAIL) lạm dụng nội dung hoạt động của các email HTML, chẳng hạn như hình ảnh được nhúng vào nội dung bằng URL được yêu cầu.
Các hacker chặn các email ở nơi đầu tiên bằng cách thông qua lưu lượng mạng hoặc các kỹ thuật độc hại hơn như đột nhập vào tài khoản email, máy chủ email, chương trình sao lưu hoặc máy tính. Sau khi chặn email, nó sẽ thay đổi nội dung và gửi nó cho nạn nhân. Khi họ mở email, chương trình email giải mã nội dung và gửi văn bản thuần túy đến kẻ tấn công.
“Lời khuyên của chúng tôi, và đồng thời phản ánh ý kiến của các nhà nghiên cứu, là ngay lập tức vô hiệu hóa hoặc gỡ bỏ các công cụ tự động giải mã email được mã hóa PGP”, đây là điều mà EFF đã viết trong một bài đăng blog khi lỗ hổng được tìm thấy. “Cho đến khi các lỗi được mô tả trong bài báo được hiểu rộng rãi hơn và cố định lại, người dùng nên sắp xếp việc sử dụng các kênh an toàn đầu cuối thay thế, chẳng hạn như Signal, và tạm thời ngừng gửi và đặc biệt là đọc email mã hóa PGP”.