Thuật toán bảo mật SHA-1 bị chinh phục

Như vậy là phương thức mã hóa được coi là chuẩn của việc bảo vệ các kênh liên lạc trực tuyến tồn tại 9 năm qua đã bị phá vỡ sau khi một nhóm 3 chuyên gia tại Đại học Shandong (Trung Quốc) phát hiện cách khai thác.

Việc một nền tảng mã hóa như vậy bị đục thủng là chuyện lớn. Theo đó, tất cả các ứng dụng và phần mềm server tích hợp SHA-1 (viết tắt của Secure Hash Algorithm) trong các chức năng như trình duyệt web, gửi/nhận e-mail, nhắn tin nhanh, bảo mật, mã hóa đĩa và file….sẽ cần phải được thay thế hoặc nâng cấp. “Đây là một vấn đề nghiêm trọng trong công nghệ SHA. Chúng tôi biết điều này sẽ xảy ra nhưng không nghĩ lại sớm đến vậy”, Bruce Schneider, một nhà nghiên cứu về mã hóa, nhận xét trên trang web riêng.

Tuy nhiên, Schneider trấn an rằng, việc SHA-1 bị phá vỡ không có nghĩa là các kênh liên lạc mã hóa của bạn sẽ ngay lập tức bị theo dõi. Người sử dụng máy tính sẽ không bị tác động gì bất ngờ. Các kênh liên lạc trực tuyến chưa bị xé toang ngay vì vẫn còn một chuẩn bảo mật “rắn” hơn chưa bị phá, gọi là SHA-256. Giới chuyên gia mã hóa đang thúc giục các công ty phần mềm tích hợp ngay SHA-256 vào các ứng dụng hiện còn dùng SHA-1. Jon. D. Callas, Giám đốc công nghệ hãng PGP, một công ty chuyên về giải pháp bảo mật máy tính cá nhân và doanh nghiệp, cho biết các sản phẩm sắp tới của họ sẽ tích hợp SHA-256. Phiên bản PGP 9 chuẩn bị được giới thiệu thử nghiệm beta trong vài tuần tới.

Thuật toán băm một chiều (hash) cho giá trị kết quả đầu ra có kích thước không đổi theo đầu vào trên nguyên tắc: - Giá trị đầu ra là không đổi khi giữ nguyên vẹn giá trị đầu vào cho dù thuật toán được thực hiện vào bất cứ thời điểm nào. Thuật toán được sử dụng bất cứ khi nào. - Sử dụng hàm băm một chiều, không thể tính toán ngược từ giá trị đầu ra để biết được giá trị đầu vào. - Không thể tính toán hai đầu vào khác nhau để có cùng một giá trị hash khi thực hiện cùng một thuật toán băm.

Theo chuyên gia Schneider, SHA-1 là thuật toán “băm” một chiều (hash) dùng trong rất nhiều hệ thống như SSH, SSL, S/MIME, PGP, IPSec, VPNs…. Nó được Cơ quan an ninh quốc gia Mỹ phát minh năm 1995 và trở thành chuẩn bảo mật cơ sở phổ biến nhất trên Internet. Các nhân viên mật mã thường dùng công cụ này để tính những giá trị “hash” ở mỗi thông điệp bí mật, từ đó đảm bảo rằng nội dung không bị xâm nhập trong quá trình truyền đi và không thể bị gián điệp chui vào làm thay đổi cấu trúc. “Hashing được biết đến ít hơn nhiều so với bất kỳ khía cạnh nào trong ngành mã hóa”, Giám đốc Callas của PGP nói. “Có lẽ sẽ phải mất từ 2 đến 5 năm nữa chúng ta mới thực sự hiểu hết những thuật toán như thế này và trong thời gian đó sẽ có nhiều điều lớn hơn xảy ra”.

Việc phá mã bảo mật như SHA thường đòi hỏi một sức mạnh tính toán rất lớn. Các nhà nghiên cứu Trung Quốc khi crack SHA-1 đã không có nhiều siêu máy tính trong tay, nên thay vào đó, họ sử dụng một chương trình điện toán phân tán giống như dự án SETI@Home (setiathome.ssl.berkeley.edu) để khai thác sức mạnh nhàn rỗi của hàng nghìn máy tính trên thế giới và hoàn tất công việc. “Trường hợp đột nhập đáng chú ý nhất từ trước đến nay vào các hệ thống mã hóa là vụ xuyên thủng chuẩn MD5-RC64 nhờ sức mạnh của 300.000 máy tính và phải mất 5 năm”, Callas cho biết. “Phá SHA-1, khó hơn gấp 16 lần, cũng cần 300.000 máy tính nhưng phải mất xấp xỉ 74 năm”. Tuy nhiên, với việc tận dụng được sức mạnh liên kết của nhiều máy tính gia đình như các nhà khoa học Trung Quốc đã làm nói trên, thời gian thực hiện điều này đã được rút ngắn rất nhiều.