Tổ chức Internet Engineers Task Force đã đồng ý phê duyệt một bộ khung an ninh giúp các kết nối được mã hóa trên web nhanh hơn và khả năng chống snooping tốt hơn.
Nếu bạn không biết thì Internet Engineering Task Force (IETF) là một tổ chức tiêu chức mở không có thành viên chính thức hay yêu cầu về thành viên. Về cơ bản, IETF là một nhóm các kỹ sư từ khắp nơi trên thế giới cùng hợp tác để phát triển và quảng bá các tiêu chuẩn Internet tự nguyện, đặc biệt là các tiêu chuẩn liên quan đến bộ giao thức Internet. Những người này đều là tình nguyện viên tham gia hoặc quản lý, dù công việc của họ thường được tài trợ bởi một bên thứ ba khác.
Mới đây tổ chức này đã phê chuẩn Transport Layer Security (TLS) phiên bản 1.3 sau bốn năm chuẩn bị với hơn 28 bản thảo. Đây là phiên bản cải tiến thường kỳ giúp web duy trì hoạt động khi phải đối mặt mặt với những “thứ độc hại” khắp nơi. Lý do của việc trì hoãn này là do các thành phần cơ bản của internet đã có nhiều thay đổi, chẳng hạn như làm thế nào để máy khách và máy chủ thiết lập một kết nối bảo mật được mã hóa và điều này phải được thực hiện cực kỳ cẩn thận. Nói một cách khác, cũng tương tự như mục đích của WPA 3 ra đời, thì TLS 1.3 đã có những điều chỉnh cần thiết để giúp người dùng an toàn hơn trên thế giới mạng.
Transport Layer Security có thể hiểu là một lớp bảo mật khi truyền tải dữ liệu thông qua internet. Mục đích chính của giao thức này là cung cấp sự riêng tư và toàn vẹn dữ liệu giữa hai ứng dụng trong môi trường mạng. TLS sử dụng mã hóa đối xứng để mã hóa dữ liệu, và sinh ra các khóa để mã hóa cho mỗi lần kết nối và được thỏa thuận bí mật của các giao thức khác. Cách đây hai năm, giao thức này từng bị phát hiện lỗ hổng DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), cho phép kẻ tấn công giải mã các kết nối TLS chỉ trong vài giờ với chi phí rất nhỏ, bằng cách liên tục tạo kết nối SSLv2 tới máy chủ. Ước tính khi đó có đến hơn 11 triệu trang web bị ảnh hưởng.
Một số điểm đáng chú ý của TLS 1.3 là:
● Thiết lập kết nối giữa máy khách và máy chủ được liền mạch hơn và yếu tố mã hóa được khởi tạo từ trước đó để giảm thiểu lượng dữ liệu bị truyền tải không được mã hóa.
● “Chuyển tiếp bí mật”, có nghĩa là hacker không thể lấy được khóa giải mã từ một giao dịch và sử dụng nó để giải mã những giao dịch sau đó.
● Các thuật toán mã hóa “cũ” từng được chấp nhận làm tùy chọn, nay đã được gỡ bỏ nhằm tránh trường hợp bị buộc phải sử dụng và những thiếu sót của chúng sẽ làm phá vỡ các mã hóa khi truyền tin.
● “0-RTT” mới hay viết tắt của zero round-trip time, một chế độ mà máy chủ và máy khách đã thiết lập một số sơ bộ trước đó có quyền gửi dữ liệu mà không cần phải “tự giới thiệu lại” với nhau nữa.
Toàn bộ tiêu chuẩn này dài tới 155 trang, và nếu bạn không phải là kỹ sư về bảo mật cho các hệ thống đòi hỏi về an ninh cao thì có lẽ cũng không muốn đọc làm gì. Tuy nhiên, nếu quan tâm bạn có thể xem toàn bộ tiêu chuẩn mới này tại đây.
Ở khía cạnh triển khai, tất nhiên việc TLS 1.3 “đi vào cuộc sống” không phải là chuyện một sớm một chiều. Tuy nhiên phê chuẩn của IETF là một bước tiến lớn so với tiêu chuẩn hiện nay đang được các công ty lớn, các dịch vụ web và nhiều nơi khác nữa sử dụng, để họ chấp nhận các tiêu chuẩn cấp cao hơn.
Theo TechCrunch