Truyền dữ liệu chính xác, an toàn và bảo mật
ĐỀ XUẤT GIẢI PHÁP
Truyền dữ liệu chính xác, an toàn và bảo mật
1.Đặt vấn đề.
Hiện nay, với xu thế toàn cầu hoá, làm việc trong điều kiện cách ly xã hội do đại dịch Covid 19. Thực tế, nhiều đơn vị có nhiều cơ sở làm việc ở khoảng cách địa lý xa và rất xa không thể trực tiếp nộp sản phẩm dạng từ một cơ sở thực hiện đến cơ quan chủ quản.
Chính phú đang triển khai chuyển đổi số, dịch vụ công trên hệ thống mạng diện rộng, đòi hỏi phải xác thực đúng nội dung, đúng người gửi yêu cầu và cơ quan công quyền giải quyết toàn bộ trên nền tảng công nghệ số.
Các ngành cũng chuyển đổi số rất nhanh như ngân hàng, toàn bộ triển khai trên điện thoại thông minh mà không cần trực tiếp đến ngân hàng giao dịch.
Tuy nhiên, hàng loạt các vấn đề tấn công mạng, mã hoã dữ liệu, đòi tiền chuộc, càì virus lấy cắp dữ liệu đã liên tục xảy ra khiển thế giới mất rất nhiều dữ liệu, và tiền bạc mà điển hình là một loạt mạng xã hội đã bị mất thông tin của khách hàng...
Truyền dữ liệu đã được triển khai trong nhiều lĩnh vực, vì vậy để đáp ứng nhu cầu truyền dữ liệu chính xác và bảo mật là điều rất cần thiết phải có giải pháp chính xác, an toàn và bảo mật.
2. Phân tích nguy cơ và Giải pháp thực hiện truyền dữ liệu an toàn tuyệt đối
2.1 Các nguy cơ mất an toàn truyền dữ liệu
Trong thực tế tồn tại 3 nơi mất an toàn thông tin nhất
- Nơi làm dữ liệu để gửi đi: Người làm, người đóng gói dữ liệu, làm thủ tục gửi đi đều không được kiểm soát chặt chẽ
- Đường truyền dữ liệu đến nơi nhận: Trên đường truyền chung có nhiều nguy cơ bị người khác chặn mất dữ liệu, đầu gửi, đầu nhận bị người khác xâm nhập lấy mất dữ liệu.
- Nơi nhận dữ liệu qua đường truyền. Người nhận, dữ liệu nhận, thủ tục kiểm tra và lưu trữ dữ liệu đều không được kiểm soát chặt chẽ.
2.2 Giải pháp
Để bảo đảm truyền dữ liệu pháp chính xác, an toàn và bảo mật chúng tôi đưa ra giải pháp CCdata - là một hệ thống gồm phần cứng, phần mềm và các giải pháp công nghệ vận hành gần như tuyệt đối an toàn như sau:
+ Sơ đồ công nghệ
+Mô tả sơ đồ công nghệ
- Người gửi:
Là nơi gửi dữ liệu, bao gồm toàn bộ hệ thống mạng nội bộ chỗ sản xuất - mạng nội bộ này cũng được cài bảo mật và mã hoá.. Việc gửi được 1 người (có thể là quản trị admin) được uỷ quyền sẽ kết nối bảo mật SHA 3 512 bits với người nhận bằng CCKBAS
- Mã hoá:
Sau khi kết nối, dữ liệu được mã hoá bằng CCCypher theo cơ chế AES dữ liệu bảo mật đó mã hoá dữ liệu.
- TCP/IP netwwork
Là mạng internet, LAN, WAN hay mạng bảo mật riêng, tuỳ hạ tầng công nghệ thông tin của từng đơn vị
- Server - Portal
Là máy chủ lưu trữ dữ liệu và vận hành các phần mềm hệ thống, là cổng thông tin Portal
- Blockchain 4W Events
Là xác thực blockchain 4 cấp độ
- SMS Server
Là máy chủ tạo tin nhắn hoặc mã OTP để cấp cho người gửi và người nhận.
- GSM, Wifi, Bluetooth
Là cơ chế truyền tin mã OTP, đối với đơn vị không dụng mạng internet thì mã này chuyển cho điện thoại di động qua mạng wifi hay bluetooth (do cơ quan lựa chọn), hoặc gửi mạng nội bộ và chuyển lên điện thoại di động. Điện thoại di động là khẳng định chỉ duy nhất người đó nhận mã OTP mã hoá..
- Tin nhắn
Là dạng keyword tạo ra dạng OTP được mã hoá, có thể truyền trong mạng hay qua mạng viễn thông điện thoại di động.
- Người nhận
Là nơi nhận dữ liệu, bao gồm toàn bộ hệ thống mạng nội bộ chỗ lưu trữ hay xử lý cho toàn hệ thống - mạng nội bộ này cũng được cài bảo mật và mã hoá.. Việc nhận được 1 người (có thể là quản trị admin) được uỷ quyền sẽ kết nối bảo mật SHA 3 512 bits với người gửi bằng CCKBAS vaf giải mã bằng CCCypher
Hệ thống bao gồm 5 cấp độ bảo mật và mã hoá cụ thể:
Hệ thống bao gồm toàn bộ là phần mềm cái trên máy chủ (dữ liệu) -Portal, máy chủ tạo mã OTP, mã OTP được chuyển lên điện thoại qua GSM hoặc Wifi, hoặc bluetooth, và máy làm từng cá nhân (nếu cần thiết)
Phần mềm máy chủ lưu trữ là hệ thống phần mềm CCKBAS, CCCypher và CCTrex cài trên máy chủ - Portal
Phần mềm xác thực block-chain cài trên máy chủ Portal / hoặc máy chủ Server SMS có kết nối với nhau để sinh ra mã OTP và lưu trữ các sự kiện trong block-chain xác thực block-chain chống chối bỏ, chống chỉnh sửa.
Lưu ý:
· Có điều kiện thì tách ra mỗi module 1 máy chủ
· Không thì dùng chung
· Có điều kiện thì chạy cấu hình active-active (2 máy song song) hoặc tier-3 (3 máy song song) để đảm bảo khi máy này sập có máy khác thay thế
· Không thì chạy 1 máy thôi, server sập thì phải cài lại.
2.2.1. Kết nối bảo mật CCKBAS
Khi có yêu cầu gửi kết quả dữ liệu, người gửi được trao công cụ phần mềm để mã hoá đường truyền, đảm bảo không có ai có thể nghe lén lấy cắp, truy cập vào hệ thống được.
2.2.2.Mã hoá CCCypher
Dữ liệu được mã hoá an toàn nhanh chóng với kích thước nén mã hoá nhỏ, giải nén nhanh theo mã hoá mà kẻ cắp có lấy được cũng gần như không thể hoặc rất lâu mới phá mã được.
2.2.3. Xác thực tin nhắn SMS OTP
Sau khi bảo mật đường truyền, mã hoá dữ liệu, hệ thống sẽ sinh ra một mã tự động OTP để nhắn qua mạng viễn thông (đối với các cơ quan không kết nối internet có thể sử dung mạng bảo mật nội bộ, hay wifi hay bluetooth an toàn trong diện hẹp mà kẻ cắp không thể tiếp nhận).
Mã OTP này sẽ gửi cho người nhận, chỉ khi người nhận có mã OTP và trả lời đúng khớp với mã OTP đã gửi đi mới có quyền truy cập để lấy dữ liệu về. Mã OTP bảo mật kẻ cắp có thể lấy và giải mã, nhưng thời hạn tồn tại mã OTP là rất ngắn, nếu kẻ cắp cố thể dùng siêu máy tính để giải cũng phải mất thời gian, khi đó đã quá hạn và mã lấy cắp cũng không thể sử dụng được. Điều này giống như cơ quan an ninh cần tối thiểu 1 phút để định vị vị trí người gọi điện thoại hay mã ngân hàng chỉ có giá trị trong 5 giây. Vì vậy mã OTP này là an toàn gần như tuyệt đối.
2.2.4. Chữ ký số CCTRex
Đây là giải pháp so với chữ ký số thông thường, tương đồng về công nghệ, nhưng phương thức triển khai mới, cho phép có nhiều tính năng mới.
Chữ ký số Niêm phong Toàn vẹn dữ liệu. Chữ ký = SHA256 ("thông điệp cần niêm phong", "khóa bí mật") = hash 256 bits. Không mất tổng quát, khóa bí mật có độ dài 256 bít
Ví dụ: "khóa bí mật“ = SHA256(“secret-key”) =
85dbe15d75ef9308c7ae0f33c7a324cc6f4bf519a2ed2f3027bd33c140a4f9aa
Tấn công 2256 khó đến thế nào:
2256 = 115792 089237316 195423570 985008687 907853269 984665640 564039457 584007913 129639936 > 1078
Giả sử mỗi máy tính cá nhân có tốc độ tính hash là 1.4H h/s (1.4 tỉ hash mỗi giây)
Tốc độ phá mã:
Vũ trụ khả kiến: 100 tỷ thiên hà: 1028hash/s x 100x109 = 1041hash/s
Vũ trụ toàn thể: 1.000 tỷ thiên hà: 1028hash/s x 1.000x109 = 1042hash/s
Với tốc độ tính toán này, để kiểm tra toàn bộ 1078 trường hợp, vũ trụ toàn thể cần đến 1036 giây ≈ 3.17x1028 năm, hay ≈ 2.4x1018 lần tuổi của chính vũ trụ, tức là việc này không khả thi.
Máy tính lượng tử phá được SHA không?
Chưa có thuật toán lượng tử phá mã SHA.
Khi đã có mã OTP người gửi và nhận vẫn cần phải có chữ ký số để xác định đó chính là của cơ quan của người gửi và nhận, giống như chữ ký số ngân hàng hay hợp đồng đã được áp dụng ngày nay ở mọi lĩnh vực mà điển hình là hoá đơn điện tử xuất trên hệ thống thuế quốc gia. Một đặc tính nỏi bật của chữ ký số là: kiểm tra tính toàn vênh của dữ liệu, nếu dữ liệu vì lý do nào đó bị sai đi dù chỉ 1 bít, qua chữ ký số sẽ phát hiện được.
2.2.5.Xác thực BlockChain
Phần mềm xác thực block-chain cài trên máy chủ Portal / hoặc máy chủ Server SMS có kết nối với nhau để sinh ra mã OTP và lưu trữ các sự kiện trong block-chain xác thực block-chain chống chối bỏ, chống chỉnh sửa.
Xác thực bằng mã OTP , blockchain là cơ sở dữ liệu sự kiện, dựa vào đó để xác thực. Cơ sở dữ liệu blockchain nó là cơ sở dữ liệu không sửa xóa được => có các tính chất: minh bạch, đối soát, xác thực, chống chối bỏ, soi vào block-chain để xác thự . Nó là quyển sổ cái:
Ví dụ: A gửi cho B; B mở ra xem rồi nhưng lại chối => không thể, đã lưu trữ sự kiện B mở ra xem rồi.
hoặc A chưa gửi đi nhưng lại bảo đã gửi cho B rồi, => không thể, blockchain sẽ chứng minh điều đó là sai
Còn xác thực tại thời điểm gửi: blockchain bắn ra mã OTP không thể làm giả, gửi đi qua GSM đến điện thoại
Ở quy trình công nghệ có dùng blockchain, với các trường thông tin sung xuất xứ dữ liệu, người làm, nơi làm thời gian làm,
3.Quy trình gửi dữ liệu
-Đăng nhập: "Người gửi"/ "Người gửi"_Private_Key
-Xác thực đăng nhập: sms OTP
Server lưu sự kiện "Người gửi"vào BlockChain
OTP code sinh ra từ blockchain-hash
-Niêm phong: CC.T.Rex
Chữ ký số CC.T.Rex đảm bảo tính toàn vẹn dữ liệu, và dễ dàng kiểm tra tính toàn vẹn dữ liệu
Mỗi nội dung có 1 chữ ký khác nhau, nhưng luôn đảm bảo kiểm tra được do "Người gửi" đã ký niêm phong
-Mã hóa trước khi gửi: CCCypher
Mạnh tương đương AES
Nhanh hơn với các file kích thước lớn
-Gửi đi:
Gửi lên máy chủ
Hoặc gửi file qua các kênh công cộng hoặc nội bộ bảo mật
4. Quy trình nhận dữ liệu
- Đăng nhập: "Người nhận" / "Người nhận"_Private_Key
- Xác thực đăng nhập: sms OTP
Server lưu sự kiện "Người nhận"_ vào BlockChain
OTP code sinh ra từ blockchain-hash
- Giải mã: CCCypher
Xác nhận đã nhận được thông tin
- Mở niêm phong: CCT.Rex
Xác nhận toàn vẹn dữ liệu gửi file qua các kênh công cộng hoặc nội bộ bảo mật
5. Năm cấp độ bảo vệ
6. THUẬT TOÁN GIẢI BĂM AN TOÀN SHA SHA1 / SHA2 / SHA3
SHA (Secure Hash Algorithm hay thuật giải băm an toàn) là các thuật giải được chấp nhận bởi FIPS dùng để chuyển một đoạn dữ liệu nhất định thành một đoạn dữ liệu có chiều dài không đổi với xác suất khác biệt cao.
Thuật toán SHA là thuật giải băm mật được phát triển bởi cục an ninh quốc gia Mỹ (National Security Agency hay NSA) và được xuất bản thành chuẩn của chính phủ Mỹ bởi viện công nghệ và chuẩn quốc gia Mỹ (National Institute of Standards and Technology hay NIST). Những thuật giải này được gọi là "an toàn" vì theo chuẩn FIPS 180-2 phát hành ngày 1 tháng 8 năm 2002:
1. Cho một giá trị băm nhất định được tạo nên bởi một trong những thuật giải SHA, việc tìm lại được đoạn dữ liệu gốc là không khả thi. Hay còn được gọi là mã một chiều.
2. Việc tìm được hai đoạn dữ liệu khác nhau có cùng kết quả băm tạo ra bởi một trong những thuật giải SHA là không khả thi.
3. Bất cứ thay đổi nào trên đoạn dữ liệu gốc, dù nhỏ, cũng sẽ tạo nên một giá trị băm hoàn toàn khác với xác suất rất cao.
+SHA 1 có 256 bít tối đa
+SHA 2 chạy nhanh hơn cũng chỉ có 256 bít
+ SHA 3 có thể dùng 512 bit, 1024 bít và lớn hơn
Kỹ thuật chúng tôi dùng trong hệ thống là SHA 3 dùng 512 bit
7. KẾT NỐI BẢO MẬT - CCKBAS
Các mạng thông tin đều tồn tại lỗ hổng bảo mật nghiêm trọng ngay khi kết nối (hand-shaking), ví dụ:
- Wifi: lỗ hổng bảo mật được chỉ ra từ 2004 vẫn tồn tại
- TCP/IP: đích đến quan trọng hơn nguồn gửi, không xác thực nguồn gửi; không ngăn chặn được những kẻ lén lút (nghe lén)
Giải pháp: Sử dụng dang "Câu đố 256 bits"
Câu đố của "Người giữ cửa" dài 256 bít: là một số ngẫu nhiên trong số 2256 số; tức là ngân hàng câu hỏi gồm 2256 câu hỏi;
Câu trả lời cho câu đó của "Người giữ cửa" là hash SHA512 bít không thể phá mã (với nền tảng công nghệ điện toán hiện nay)
Do đó, giả sử có một "Kẻ lén lút" ăn cắp lén lút thu thập các câu hỏi và câu trả lời, thì cần phải thu thập đủ 2256 câu hỏi và câu trả lời, đây là 1 con số rất lớn: ~1.58e+77 tức là 1 và 77 số 0 theo sau. Nếu tốc độ thu thập của "Kẻ lén lút" là 1 tỉ câu hỏi mỗi giây, thì "Kẻ lén lút" cần tới 1.58e+68 giây ~ 3.67e+60 năm, hay ~3.67 triệu tỷ tỷ tỷ tỷ tỷ tỷ năm để thu thập được hết, đây là con số rất lớn đối với "Kẻ lén lút"
Để kết nối phải thông qua thuật toán hỏi ký tự dài 256 bít và trả lời phải là ký tự SHA 512 bít - phải khớp lệnh thì mới thông tuyến, có mở được khoá thì mới vào được nhà ( kết nối giống như hai đầu dây kết nối vào với nhau bằng đầu 256 bít và 512 bít, rất khó ai có thể kết nối được)
Quy trình kết nối:
Người gửi :Yêu cầu kết nối
Người nhận. Câu đố của Hệ thống
Câu trả lời đúng, cho làm việc
Câu trả lời sai. làm lại Session mới
"Người giữ cửa": bảo vệ, đứng gác kiểm soát giao dịch gửi nhận
Kẻ lén lút ăn cắp:
Þ Không thể chen vào kết nối
Þ Muốn phá mã, hãy xem SHA rất khó và gần như không thể
8. MÃ HOÁ HIỆU SUẤT CAO - CCCYPHER
Thông thường người ta dùng mã hoá AES 256 để phá mã có độ khó là 1 và 77 chữ số 0 theo sau, cần thử 2^256 tương đương 1e+77 lần
- AES là 1 tầng bảo vệ trong CCCypher
Trong mật mã học, Advanced Encryption Standard (tiếng Anh, viết tắt: AES, nghĩa là Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm (Xem thêm: quá trình thiết kế AES).
Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan Daemen và Vincent Rijmen. Thuật toán được đặt tên là "Rijndael" khi tham gia cuộc thi thiết kế AES. Rijndael được phát âm là "Rhine dahl" theo phiên âm quốc tế (IPA: [ɹaindal]).
CCCypher an toàn trong không gian từ mã phân bố đều 256! » 8e+506 (8 và 506 chữ số 0 theo sau) gần như không thể phá mã (lưu ý 256 giai thừa là con số cực lớn các trường hợp muốn phá mã phải dùng siêu máy tính tính toán trong một khoản thời gian nhất định)
So sánh với AES256:
- Hiệu suất cao hơn 70 lần khi AES dùng cùng CPU
- Hiệu suất cao hơn 10 lần khi AES dùng phần cứng mã hóa tăng cường chuyên dụng
- CCCypher Key H được bảo vệ bằng AES
Giải pháp CCCypher - Tốc độ cao, rất cao
Giải pháp CCCypher - Tốn ít tài nguyên hơn
9. TÍNH PHÁP LÝ
Tại Việt Nam sáng chế "Phương pháp bảo vệ nội dung tập tin có Entropy thông tin cao bằng cách sử dụng kết hợp mã hoán vị, chuẩn mã hóa AES và công nghệ chuỗi khối và hệ thống thực hiện phương pháp này" đã được đăng ký độc quyền. Nhiều sáng chế về mã hoá dữ liệu đã được bảo vệ như:
10. KẾt luẬn
- Cả 2 thuật toán AES và CCCypher đều chưa có thuật toán lượng tử để phá mã, đồng thời máy tính lượng tử vẫn còn trong trạng thái PC lý thuyết chưa có ứng dụng thực tiễn.
- Cho nên độ khó phá mã như vậy vẫn được cho là không thể phá. Hiện tại NSA của Mỹ có thể phá mã đến 2^54, vẫn là con số quá nhỏ để phá CCCypher.
- Với quy trình mã bảo vệ 5 cấp độ, được quốc tế và Việt Nam bảo hộ độc quyền sáng chế, sử dụng kỹ thuật kết nối an toàn SHA3 512 bít , mã hoá hiệu quả 256! cao hơn dạng mã hoá AES256, mã OTP trong thời gian ngắn vă kỹ thuật blockchain cho phép chúng ta truyền dữ liệu nhanh, an toàn và bảo mật.
- Đặc thù bảo vệ dữ liệu GIS dạng geodatabase.
File dữ liệu có tên và phần mở rộng là *.gdb, gdb là geodatabase giống như phần mở rộng của dạng ảnh *.JPG, hay video *.MP4...đều được mã hoá bằng CCCypher, người thường có file này nhưng không có chữ ký số, hay mã OTP... thì sẽ không mở được.
Cơ chế bảo đảm nếu file dữ liệu truyền đi sai 1 bít....sẽ phát hiện và hiệu chỉnh, thông báo ngay.
Mã hoá CCCypher có đặc điểm cho dù đối phương lấy được file cũng thể phá mã để đọc nội dung.
Bản quyền-CopyRight Chân Châu Group Tháng 8 năm 2021