Mã hóa là gì? Hướng dẫn toàn diện

Lược sử ngắn gọn về mã hóa

Mã hóa phổ thông trên mạng web vừa mới mẻ vừa phổ biến và quen thuộc. Ban đầu, mã hóa dữ liệu chỉ là một biện pháp đảm bảo an ninh quốc gia: giữ bí mật quốc gia hoặc bảo mật quân sự và ngăn chặn kẻ địch (thực hoặc tiềm năng) truy cập. Khi internet trở thành nguồn tài nguyên được sử dụng rộng rãi hơn vào những năm 1990, ngôn ngữ liên quan và khả năng tiếp cận mã hóa đã thay đổi. Các thuật ngữ “bảo mật” hoặc “riêng tư” đã được mở rộng tự nhiên đến công chúng nói chung. Nhưng nhu cầu che giấu thông tin thực sự đã rất lâu đời.

Nguồn gốc cổ xưa của mật mã học

Thực hành che dấu tin nhắn đã xuất hiện từ các nền văn minh cổ đại. Herodotus kể lại cách Histeaus xăm một tin nhắn bí mật lên đầu một người nô lệ đã cạo, che giấu tin nhắn khi tóc mọc lại. Đây là steganography – che giấu, không biến đổi, một tin nhắn.

Vào khoảng 700–500 TCN, các mật mã đã xuất hiện để mã hóa thông tin nhạy cảm, chẳng hạn như liên lạc quân sự. Những phương pháp đầu tiên bao gồm thay thế chữ cái đơn giản (A=Z, B=Y). Theo thời gian, mã hóa trở nên phức tạp hơn. Máy “Enigma” của Đức Quốc xã sử dụng các mật mã dựa trên rôto phức tạp, và việc phá được chúng đã giúp phe Đồng minh chiến thắng Thế chiến II.

Chúng ta có thể nói rằng mã hóa lâu đời nếu tính từ khi ngôn ngữ giao tiếp người - người trở thành công cụ chính trị, và mới mẻ nếu tính từ khi ngôn ngữ chuyển sang dạng kỹ thuật số.

Mã hóa như công nghệ bảo mật hiện đại

Mật mã học số và tính toán hiện đại được phát triển vào những năm 1970, phần lớn nhờ tài trợ nghiên cứu và các sáng kiến của chính phủ Hoa Kỳ. RSA (Rivest–Shamir–Adleman) là một kết quả của công trình này. Những nỗ lực này không hoàn toàn bí mật, vì chúng liên quan các nhà nghiên cứu học thuật và các công ty công nghệ như IBM làm việc theo hợp đồng chính phủ. Nhưng kết quả được bảo vệ chặt chẽ và được coi là tài sản an ninh quốc gia. Công nghệ mật mã còn được phân loại là “vũ khí đạn dược” theo luật pháp Hoa Kỳ để hạn chế và truy tố việc xuất khẩu trong thời kỳ Chiến tranh Lạnh.

Mã hóa như một tài nguyên bảo mật riêng tư công cộng

Thông qua các vụ kiện tụng, vận động và các nỗ lực công nghệ từ cơ sở, Hoa Kỳ đã giảm bớt luật mã hóa, cho phép nhắn tin mã hóa lan rộng toàn cầu – mở ra quyền riêng tư kỹ thuật số.

Đến thập niên 2010, hầu hết dịch vụ web áp dụng AES hoặc các giao thức tương tự, khiến mã hóa trở thành mặc định cho duyệt web, email và mua sắm trực tuyến.

Ngày nay, cuộc chiến giành mã hóa an toàn, không có cửa hậu vẫn tiếp diễn. Nhưng trước tiên, hãy cùng khám phá cách thức hoạt động của mã hóa.

Mã hóa là gì?

Mã hóa là sự biến đổi dữ liệu để nó trở nên không thể đọc được, trừ những người có khóa mật mã cần thiết để mở khóa. Hãy tưởng tượng ban đầu như việc đặt thông tin nhạy cảm của bạn vào một căn phòng bất khả xâm phạm, không thể truy cập nếu không có chiếc chìa khóa đặc biệt mà chỉ bạn sở hữu. Rốt cuộc, “mã hóa” nghĩa là niêm phong, bảo vệ hoặc giữ bí mật. Nhưng thay vì được bao bọc trong một căn phòng vật lý, dữ liệu của bạn được biến đổi thành mã kỹ thuật số.

Quá trình mã hóa

Mã hóa biến dữ liệu của bạn từ “văn bản rõ” (bản gốc và có thể đọc được, hoặc “rõ ràng”) thành “văn bản mã hóa” (không thể đọc được, ẩn dưới một “mật mã” hoặc câu đố). Các thuật toán đặc biệt biến đổi từng chữ cái hoặc giá trị trong dữ liệu của bạn sao cho ngay cả khi ai đó chặn được, cũng không thể giải mã. Các thuật toán mã hóa hiện đại mà chúng ta sẽ thảo luận bao gồm AES, RSA, và ECC (Mật mã học Đường cong Ellip).

Độ mạnh của khóa mã hóa

Độ mạnh của mã hóa được xác định bởi độ dài số học (hoặc số bit) của khóa mã hóa: khóa càng dài thì càng khó bị phá. Năm 2001, AES được thiết lập là mã hóa 128-bit cho cả sử dụng nhạy cảm lẫn chung, và cũng tương thích với khóa 256-bit. Mã hóa AES đã làm cho DES (Tiêu chuẩn Mã hóa Dữ liệu) 56-bit gốc trở nên lỗi thời.

Để bảo mật nâng cao, mã hóa 256-bit hiện là tiêu chuẩn, và các bit cao hơn còn được sử dụng trong các trường hợp nhạy cảm. Để đánh giá sức mạnh của mã hóa 256-bit, hãy lưu ý rằng có khoảng 10^77 tổ hợp số và khóa khả dụng.

Các loại mã hóa cơ bản

Các hình thức chính của mã hóa được phân biệt bởi cách thức, và loại khóa được chia sẻ giữa các bên tin cậy. Trong thực tế hiện nay, các hình thức mã hóa sau thường được kết hợp để tạo thành các giao thức mã hóa lai.

Mã hóa đối xứng

Mã hóa đối xứng sử dụng cùng một khóa chung để vừa mã hóa vừa giải mã một gói dữ liệu. Cả người gửi và người nhận do đó phải sở hữu khóa, hoặc chia sẻ trước, để mã hóa và giải mã tin nhắn tương ứng. [AES] là tiêu chuẩn đối xứng chính, mã hóa dữ liệu thành các khối kích thước cố định 128-bit.

Vì có hiệu quả cao hơn đáng kể, mã hóa đối xứng đặc biệt hữu ích cho lượng lớn dữ liệu lưu trữ, như bảo vệ kho dữ liệu. Tuy nhiên, một vấn đề với mã hóa đối xứng là khóa phải được chia sẻ an toàn giữa nhiều bên, điều này gây rủi ro bảo mật nếu không có mã hóa. Đây là lúc mã hóa bất đối xứng phát huy vai trò.

Mã hóa bất đối xứng

Mã hóa bất đối xứng, hay mật mã khóa công khai, sử dụng hai khóa liên kết: một khóa công khai để mã hóa và một khóa riêng để giải mã. Các khóa này liên kết toán học qua các số nguyên tố lớn, đảm bảo dữ liệu mã hóa bằng khóa này chỉ có thể giải mã bằng khóa kia. Khóa công khai có thể được chia sẻ tự do, cho phép bất cứ ai mã hóa tin nhắn chỉ có khóa riêng của người nhận mới giải mã được.

Mật mã học Đường cong Ellip (ECC)

ECC (Mật mã học Đường cong Ellip) là một hình thức mã hóa bất đối xứng phát triển nhanh dựa trên các đường cong ellip trên các trường hữu hạn. Nó tạo ra các khóa công khai và riêng tư sử dụng các bài toán toán học phức tạp, cung cấp bảo mật mạnh mẽ với nỗ lực tính toán tối thiểu. Một khóa ECC 256-bit tương đương với khóa RSA 3072-bit, khiến ECC lý tưởng cho chứng chỉ SSL/TLS, blockchain, WireGuard và bảo mật di động.

Các hình thức mã hóa mới

Các phương pháp mã hóa mới cũng đang xuất hiện. Ví dụ, [WireGuard] sử dụng [ChaCha20] là một mã dòng nhanh và an toàn, mã hóa dữ liệu từng bit một. Thường được kết hợp với Poly1305 để xác thực, ChaCha20-Poly1305 rất hiệu quả và chống lại các cuộc tấn công mạng.

Mã hóa lai cho lưu lượng trực tuyến

Mã hóa cũng có thể có dạng lai và đa lớp để bảo vệ tốt hơn dữ liệu khi truyền tải. Như chúng ta đã thấy, mã hóa đối xứng rất nhanh, nhưng không có sẵn phương pháp an toàn để chia sẻ khóa mã hóa. Mật mã khóa công khai cung cấp giải pháp cho vấn đề này. Các mô hình lai (bao gồm ECC) kết hợp các giao thức mã hóa đối xứng và bất đối xứng ở các cấp độ khác nhau để vừa đảm bảo an toàn khóa vừa tối ưu hóa mã hóa.

Tìm hiểu thêm về giao thức mã hóa với VPN trong hướng dẫn của Nym.

Giao thức bảo mật internet

Hình thức phổ biến nhất của mã hóa lai chính là các giao thức bảo mật lưu lượng trên web hiện nay: nguyên bản SSL (Secure Socket Layer), TLS (Transport Layer Security) phát triển và cải tiến SSL, và HTTPS được xây dựng trên TLS/SSL.

SSL/TLS là quá trình thiết lập kết nối được mã hóa lần đầu. Quá trình bắt đầu với trình duyệt và dịch vụ web, xác thực chứng chỉ TLS/SSL và độ tin cậy qua cơ quan chứng nhận (CA) đáng tin cậy để đảm bảo đó là máy chủ thật. Một khóa mã hóa đối xứng sau đó được trao đổi an toàn để mã hóa và giải mã dữ liệu của bạn.

Mã hóa đa lớp

Thông thường, dữ liệu người dùng được mã hóa một lần vì nó đủ bảo mật và nhanh. Tuy nhiên, có những cách dữ liệu có thể được mã hóa nhiều lần. Kết nối với VPN có khả năng khiến dữ liệu của bạn được mã hóa hai lần: lần đầu bởi kết nối HTTPS với điểm đến, và lần nữa bởi tunnel VPN. Những bước mã hóa này về cơ bản tạo thành các lớp, với HTTPS là lớp đầu tiên bao quanh lõi dữ liệu cleartext của bạn.

Các phương pháp định tuyến khác có thiết kế các lớp phức tạp hơn. Mã hóa [onion] của mạng Tor là một ví dụ nổi tiếng khác về mã hóa lai, thêm mã hóa đa lớp để bảo vệ định tuyến của một gói qua mạng định tuyến gồm ba server (hoặc node) của nó. [Sphinx] được thiết kế đặc biệt cho truyền thông ẩn danh trong một [mixnet] giống như hệ thống vận hành NymVPN.

Tối ưu hóa tốc độ

Quá trình mã hóa càng mạnh mẽ thì độ trễ càng là vấn đề. Khóa dài hơn, các bước trao đổi khóa đa giai đoạn, nhiều lớp mã hóa, và giải mã cũng như định tuyến đa node: tất cả các yếu tố này làm tăng thời gian tính toán cho quá trình. Nhưng bảo mật chắc chắn được tăng cường.

Cuối cùng, bảo mật và riêng tư trực tuyến luôn là sự đánh đổi giữa tốc độ và hiệu suất. Do đó, khi chọn giao thức mã hóa hoặc dịch vụ như VPN dựa trên nó, quan trọng là cân nhắc thuật toán mã hóa và giao thức định tuyến nào đang được sử dụng.

Các kỹ thuật phá mã hóa

Có thể phá bảo mật mã hóa không? Về nguyên tắc, có thể. Tuy nhiên thực tế, việc “phá vỡ” các tiêu chuẩn mã hóa hiện đại một cách trực diện hiện chưa khả thi. Việc đó đòi hỏi tài nguyên tính toán khổng lồ mà hiện nay chưa biết có tồn tại hay không. Điều duy nhất lo ngại là khi nào sức mạnh máy tính này trở nên khả thi thực tế. Dù sao đi nữa, hãy phân tích các cách thức khả thi để làm điều đó.

Chiếm đoạt khóa

Cách đơn giản nhất để xâm phạm mã hóa – tức là truy cập dữ liệu mã hóa bất hợp pháp – là chiếm đoạt khóa mã hóa/giải mã. Điều này có thể thực hiện bằng nhiều cách.

• Lỗi người dùng: Khóa riêng thường bị lộ do quản lý kém, như tái sử dụng hoặc chia sẻ không an toàn. Giống mật khẩu, nếu bị lộ, chúng có thể bị lợi dụng.
• Tấn công mạng: Hacker có được khóa thông qua phishing, tấn công man-in-the-middle, hoặc [xâm nhập cơ sở dữ liệu]. Phishing lừa người dùng tiết lộ thông tin xác thực, trong khi kẻ tấn công có thể chặn các trao đổi khóa hoặc truy cập khóa rõ không an toàn.
• Kỹ thuật xã hội: Những chiến thuật tâm lý như spear phishing hoặc baiting lừa người dùng chia sẻ khóa. Ví dụ, một email IT giả mạo có thể tuyên bố sai về vụ vi phạm bảo mật, thao túng người dùng tiết lộ các khóa mã hóa.

Ngay cả khi các cuộc tấn công này thành công, các phương pháp này về kỹ thuật không phá vỡ hoặc bẻ khóa mã hóa mà khai thác lỗ hổng con người để truy cập khóa.

Các cuộc tấn công dò khóa (brute force)

Tấn công dò khóa đoán hệ thống các khóa thông qua thử và sai. Tuy nhiên, khi độ dài khóa tăng, các tổ hợp có thể tăng theo cấp số nhân, khiến các cuộc tấn công này không khả thi.

Trong khi mã hóa 56-bit đã bị phá chỉ trong vài giờ và bị loại bỏ, mã hóa 128-bit vẫn chưa bị bẻ khóa. Các khóa cao cấp như mã hóa 256-bit khiến tấn công dò khóa gần như không thể, đòi hỏi thời gian và sức mạnh máy tính phi thực tế.

Phân tích mật mã

Ở đâu có mã số, ở đó có các nỗ lực phá mã. Phân tích mật mã, bắt nguồn từ thời cổ đại, nghiên cứu các mẫu ngôn ngữ để phá mã bằng cách giảm các mã khả thi và phân tích tần suất.

Với mã hóa kỹ thuật số, việc này phức tạp hơn rất nhiều. Phân tích mật mã hiện đại tìm kiếm mẫu trong văn bản mã hóa để thu hẹp khả năng khóa, nhưng kỹ thuật hiện tại vẫn phần lớn không khả thi.

Các cuộc tấn công kênh bên (side-channel)

Tấn công kênh bên không nhắm vào mã hóa trực tiếp, mà phân tích dữ liệu rò rỉ từ quá trình mã hóa, như công suất máy tính và thời gian thực. Siêu dữ liệu này có thể được sử dụng để xác định chính xác loại thuật toán mã hóa đang được dùng và các tham số của khóa. Nhưng một lần nữa, các thuật toán mã hóa hiện đại 128- và 256-bit vẫn gần như không thể bẻ khóa ngay cả khi thuật toán được biết.

Máy tính lượng tử

Máy tính lượng tử là rủi ro tiềm tàng cho mã hóa trong tương lai, có khả năng xử lý nhiều phép tính đồng thời. Dù phần lớn là lý thuyết, các siêu máy tính này có thể vượt trội hệ thống truyền thống trong tấn công dò khóa và phân tích mật mã. Trong khi tác động chính xác còn mang tính suy đoán, mối đe dọa này đã thúc đẩy phát triển mật mã chống lượng tử để tăng cường mã hóa chống lại khả năng giải mã lượng tử.

Giới hạn của mã hóa đối với quyền riêng tư

Các phương pháp mã hóa hiện đại gần như không thể xuyên thủng, điều này có nghĩa nội dung lưu lượng và liên lạc trực tuyến của bạn, nếu được mã hóa đầu cuối, sẽ an toàn. Tuy nhiên, chỉ mã hóa dữ liệu là cần thiết nhưng chưa đủ để bảo vệ.

Ngay cả khi nội dung dữ liệu của chúng ta được mã hóa, vẫn có nhiều tác nhân và hệ thống AI đang theo dõi chúng ta trực tuyến và [thu thập siêu dữ liệu] – dữ liệu bao quanh lưu lượng đã mã hóa của mọi hoạt động chúng ta làm.

Rò rỉ siêu dữ liệu

Siêu dữ liệu lưu lượng rất tiết lộ thông tin, ngay cả khi tin nhắn được mã hóa. Dữ liệu có thể đọc được như địa chỉ IP, loại thiết bị, vị trí, IP người nhận và dấu thời gian hoạt động vẫn có thể bị rò rỉ. Mặc dù điều này không tiết lộ trực tiếp chi tiết cá nhân, nó có thể liên kết với các hồ sơ từ nhà cung cấp dịch vụ internet hoặc VPN tập trung. Thường thì các bên thứ ba phân tích nó để suy luận các mẫu hành vi và sở thích người dùng.

Phân tích lưu lượng

Phân tích lưu lượng tổng hợp tần suất kết nối, thói quen duyệt web, sở thích và khuynh hướng chính trị, tạo ra một kho dữ liệu cá nhân rộng lớn. Ngay cả khi các tin nhắn hoặc giao dịch được mã hóa, việc theo dõi sử dụng AI vẫn có thể phân tích và suy luận hành vi cũng như sở thích của người dùng, thường là không có sự đồng ý.

Phần kết luận

Mã hóa hiện đại rất cần thiết cho bảo mật trực tuyến nhưng chưa đủ để đảm bảo quyền riêng tư thực sự. Với việc theo dõi và giám sát dữ liệu rộng rãi, cần có thêm các công cụ bảo mật quyền riêng tư.

Các dịch vụ VPN truyền thống thường tập trung siêu dữ liệu người dùng, khiến chúng dễ bị rò rỉ và giám sát. VPN phi tập trung như NymVPN loại bỏ những rủi ro này bằng cách ngăn chặn việc ghi nhật ký và sử dụng định tuyến đa bước để bảo vệ mạnh mẽ hơn chống lại phân tích lưu lượng.

Để tìm hiểu thêm về mã hóa trong VPN, hãy khám phá các giao thức WireGuard và OpenVPN của Nym.