CSKH-01.2017 - (Tóm tắt) PKCS#11 đã được chấp nhận rộng rãi trong cộng đồng những nhà nghiên cứu và phát triển các thiết bị phần cứng an toàn mật mã, trong đó có thể kể đến các hãng cung cấp các sản phẩm bảo mật và an toàn thông tin như Utimaco, Safenet, Thales, AEP. Trong bài báo này, chúng tôi tổng hợp một số điểm yếu tiềm năng đối với sự an toàn của chuẩn PKCS#11 (phiên bản 2.20), với vai trò là một giao diện lập trình ứng dụng cho một thiết bị phần cứng an toàn mật mã. Trên cơ sở đó, chúng tôi phân tích sự ảnh hưởng và đưa ra các giải pháp cho các nhà phát triển nhằm khắc phục những điểm yếu nêu trên.

Mật mã ngày nay được coi như một công cụ hữu hiệu để bảo vệ các hệ thống thông tin và các ứng dụng công nghệ thông tin. Với sự phát triển của mật mã hiện đại thì việc tấn công thám mã trực diện theo lý thuyết toán học rất khó khăn. Tuy nhiên tất cả các lý thuyết phân tích mã phức tạp đó đều có thể bị vô hiệu nếu kẻ tấn công biết được một lượng thông tin, dù là nhỏ về các giá trị trung gian của quá trình mã. Bài báo này trình bày khả năng sử dụng các lỗ hổng trong quá trình thực thi mã hóa của thiết bị mật mã và khả năng tìm kiếm khóa mã từ các tham số vật lý cụ thể là yếu tố thời gian của các thông tin mà kẻ tấn công thu được.

Patrick Wardle, cựu nhân viên NSA và là người phụ trách công tác nghiên cứu của công ty bảo mật Synack, phát hiện ra rằng công nghệ phòng vệ Gatekeeper của Apple có thể bị qua mặt, khiến cho các đoạn mã chưa được ký số có thể được thực thi.

Nhà mật mã học nổi tiếng Bruce Schneier đã nói về điểm yếu Heartbleed như sau: “Nếu theo thang điểm từ 0 tới 10 tôi sẽ đánh giá tính nguy hiểm của điểm yếu này là 11”.

Chuyên gia an toàn thông tin Taylor Hornby đã công bố các kết quả của 10 tiếng thực hiện việc kiểm toán an toàn đối với hệ thống file EncFS.