An toàn thông tin (ATTT) có 3 đặc trưng quan trọng là bảo vệ tính Bí mật, Nguyên vẹn và Sẵn sàng của thông tin. Trong đó, về mặt lôgic khoa học thì mật mã đóng vai trò vô cùng quan trọng trong đảm bảo ATTT, giải quyết 2 yêu cầu là Bí mật và Nguyên vẹn. Ngoài ra, các phương pháp mật mã cũng góp phần đảm bảo tính Sẵn sàng trong những sản phẩm ATTT cụ thể. Bài viết này nhằm khái quát lịch sử phát triển mật mã thế giới, các xu hướng nghiên cứu mật mã, các kết quả cơ bản và dự báo những xu hướng nghiên cứu của mật mã hiện đại. Bài báo cũng nêu những đóng góp quan trọng của Tạp chí ATTT trong việc tuyên truyền về khoa học - công nghệ mật mã trong 10 năm qua và đề xuất một số góp ý trong thời gian tới.
Lược sử phát triển và các lĩnh vực nghiên cứu khoa học mật mã
Mật mã ra đời cùng với sự phát triển của xã hội loài người, khi xuất hiện đấu tranh giai cấp, cùng với các cuộc chiến tranh mở mang lãnh địa thời xa xưa. Để đảm bảo bí mật các thông tin chỉ huy điều hành các chiến trận, cần phải có phương thức mã hóa đảm bảo bí mật thông tin. Từ sơ khai cho đến hiện đại, lịch sử mật mã có thể chia ra làm 3 thời kỳ sau: Cổ điển, Cận đại và Hiện đại.
Thời kỳ Cổ điển xuất hiện các mã pháp chuyển vị, thay thế đơn biểu, đa biểu với khóa hữu hạn “dễ khám phá” theo nghĩa bây giờ.
Thời kỳ Cận đại có sự ra đời của hệ mã Vernam (OTP) vào năm 1918 với không gian khóa vô hạn ngẫu nhiên.
Thời kỳ Hiện đại khoa học mật mã rất phát triển, trong đó có công trình nổi tiếng của C.E. Shannon về Lý thuyết thông tin trong các hệ mật (1949) đưa ra khái niệm về độ mật có thể định lượng được để đánh giá hệ mật. Công trình của C.E. Shannon được đánh giá là nền tảng để khoa học mật mã hiện đại phát triển.
Trong khoa học mật mã người ta phân chia theo phương thức mã hóa gồm 2 loại: Mật mã khóa bí mật (Private Key Cryptosystem) hay còn gọi là mật mã đối xứng trong đó khóa mã hóa và khóa giải mã có thể “dễ dàng” tính toán được qua nhau, và Mật mã khóa công khai (Public Key Cryptosystem) hay còn gọi là mật mã phí đối xứng xuất hiện từ năm 1976, trong đó, khóa mã hóa và khóa giải mã “khó” có thể tính toán được qua nhau.
Mật mã học (Cryptology) gồm hai lĩnh vực: Lập mã (Cryptography) và Phân tích mã (Cryptanalysic). Đây là hai mặt của một vấn đề, nó bổ sung cho nhau cùng phát triển cho bộ môn Khoa học mật mã. Về các hướng nghiên cứu trong mật mã hiện đại có thể kể ra gồm: nghiên cứu về các hệ mật khóa bí mật như Mã khối, Mã dòng, Máy tạo khóa ngẫu nhiên; nghiên cứu về Hàm băm, Chữ ký số; nghiên cứu về các hệ mật khóa công khai như RSA, ElGamal, Elliptic; nghiên cứu về các Giao thức mật mã; nghiên cứu về các thành tố mật mã phụ trợ như Bộ sinh số ngẫu nhiên (mầm khóa), Hàm dẫn xuất khóa; nghiên cứu ứng dụng mật mã trong hệ thống PKI, Mật mã hạng nhẹ, Ẩn mã... nghiên cứu các phương thức môi trường thiết lập mật mã mới như: Mật mã lượng tử, Điện toán đám mây....
Một số nguyên lý cơ bản và xu hướng phát triển của mật mã hiện đại
Độ an toàn mật mã hiện nay được hiểu theo hai khía cạnh gồm: an toàn theo nghĩa độ bất định và an toàn theo nghĩa độ phức tạp tính toán. Một hệ mật được gọi là an toàn theo nghĩa độ bất định, nếu như hệ đó có khả năng biến đổi mọi thông tin rõ thành một thông tin mã cụ thể và ngược lại, tức là mọi bản rõ đều có thể là thông tin mật đã được xử lý thành thông tin mã thực tế (đối phương không thể đoán được đâu là bản rõ đã được xử lý). Còn một hệ mật gọi là có độ an toàn theo nghĩa độ phức tạp tính toán, nếu như đối phương không có đủ thời gian và nguồn lực vật chất để khám phá, tìm ra được thông tin mật đã được xử lý qua hệ mật đó trên thực tế. Khái niệm trên đây cũng được gọi là khái niệm an toàn lý thuyết, trên thực tế hầu như không có các hệ mật lý tưởng như vậy, do đó xuất hiện khái niệm về độ an toàn mật mã thực tế. Việc nghiên cứu, thiết kế, sử dụng các hệ mật an toàn thực tế phải trải qua các nguyên tắc và các công đoạn sau.
Thứ nhất, nghiên cứu các tấn công thực tế đối với các hệ mật cùng các loại hình khoá mã tương ứng, từ đó xây dựng tiêu chuẩn kiểm tra đánh giá các loại khoá mã và các tấn công phân tích mã trên thực tế mà hệ mật chống được.
Thứ hai, nghiên cứu xây dựng các thuật toán tạo khoá cũng như thiết kế chế tạo các phương tiện thiết bị sinh khoá tương ứng với các hệ mật đã khảo sát thoả mãn các tiêu chuẩn đã được ban hành.
Thứ ba, nghiên cứu tích hợp cài đặt các thuật toán tạo khoá, các hệ mật vào các phần mềm bảo mật và ATTT hay các máy mã chuyên dụng đảm bảo độ an toàn và hiệu quả sử dụng trong thực tế đáp ứng yêu cầu bảo mật và ATTT trong mọi tình huống.
Ba vấn đề trên có quan hệ mật thiết với nhau, tác động qua lại bổ sung cho nhau, góp phần tạo ra những sản phẩm mật mã tốt nhất trên thực tế.
Một thông tin mật được xem là bảo đảm an toàn bí mật chỉ khi nó được giữ bí mật trong suốt cả quá trình phát sinh, lưu hành cho đến khi tiêu biến hoặc được giải mật không còn giá trị bí mật nữa. Trong cả quá trình đó, những người trực tiếp sinh ra, phân phát, xử lý, biến đổi thông tin mật đều phải thực hiện theo một quy trình nghiêm ngặt để đảm bảo tính bí mật và an toàn. Mọi sự sơ hở của người sở hữu, sử dụng, xử lý, khai thác thông tin mật đều ảnh hưởng nghiêm trọng đến tính bí mật, an toàn của thông tin đó. Khi thông tin mật được xử lý bởi các sản phẩm mật mã, hay các trang thiết bị kỹ thuật mật mã, để đảm bảo bí mật và an toàn, các sản phẩm mật mã cũng phải thực sự đạt các tiêu chuẩn an toàn mật mã nếu không tính bí mật hay an toàn của thông tin có thể bị suy giảm hay mất đi. Do đó, các sản phẩm mật mã, hay các trang thiết bị kỹ thuật mật mã đóng vai trò hết sức quan trọng trong xử lý truyền, lưu giữ hay biến đổi các thông tin mật trong cả vòng đời bí mật của nó, chúng phải được đảm bảo độ an toàn mật mã thực tế.
Ở đây cần lưu ý, một sản phẩm mật mã an toàn thực tế phải đảm bảo an toàn trên 4 khía cạnh: an toàn về mặt khoa học (chống được các tấn công về khoa học đối với các hệ mật); an toàn về phần mềm (chống được các tấn công khi mềm hóa các hệ mật; an toàn về phần cứng (chống được các tấn công khi cứng hóa các hệ mật); an toàn về môi trường sử dụng (tức là chống được các tấn công về môi trường như ăn mòn, khí hậu, rung xóc, độ ẩm, nhiệt độ...).
Vì vậy, việc nghiên cứu ra một sản phẩm mật mã ứng dụng thực tế là một đòi hỏi hết sức khó khăn và phức tạp. Với sản phẩm ATTT, để đứng vững trên thị trường hiện nay cũng cần phải đòi hỏi khắt khe như vậy, đồng thời cần phải lưu ý tới cả tính tiện dụng và giá trị kinh tế.
Một số thành tựu và xu hướng phát triển mật mã hiện nay có thể sơ lược như sau. Mã dòng đã được nghiên cứu khá đầy đủ về tiêu chuẩn đánh giá cũng như phương pháp thiết lập các thuật toán tạo khóa mã dòng an toàn. Gần đây, giới chuyên môn ít quan tâm đến lĩnh vực này, tuy nhiên hoàn toàn có thể có sự phối hợp giữa các kết quả của mã dòng với mã khối để tạo ra các thuật toán sinh khóa an toàn và hiệu quả trong thực tế. Mã khối đang được nghiên cứu rất nhiều thời gian gần đây, nhất là sau khi ra đời chuẩn mã dữ liệu AES với nguyên lý khuếch tán 2 chiều. Cấu trúc Feistel hay cấu trúc SPN đã được khai thác khá kỹ càng trên lý thuyết. Tuy nhiên, những gì “quá đẹp đẽ” về mặt toán học cũng sẽ tiềm ẩn nguy cơ xuất hiện các tấn công mới đối với chúng. Mã khối vẫn tuân thủ nguyên lý Hỗn độn và Khuếch tán của C.E. Shannon, song một vấn đề vẫn còn khiến các nhà nghiên cứu “đau đầu” đối với mã khối, đó là sự gắn kết giữa lược đồ khóa với các phép ngẫu nhiên hóa dữ liệu, làm sao vừa đảm bảo an toàn vừa bảo đảm hiệu quả sử dụng thực tế.
Đối với các hệ mật khóa công khai, gần đây giới chuyên môn tập trung nhiều vào nghiên cứu ứng dụng hệ mật trên đường cong elliptic do ưu thế khóa ngắn, độ an toàn cao. Một hệ mật khác là RSA tiềm ẩn nhiều tấn công nguy hiểm do tính “đẹp đẽ” của nó. Ngoài ra, để an toàn thực tế thì độ dài khóa sử dụng cần quá lớn, đó là những điểm yếu mà thế giới bảo mật cần “nâng cấp hóa” trong tương lai.
Các giao thức mật mã vẫn là vấn đề thách thức các nhà khoa học mật mã thế giới. Đảm bảo tính an toàn, gọn nhẹ, không lộ bí mật, không để bị điều khiển hay lợi dụng hoặc bị can thiệp giả tạo là những yêu cầu hết sức khó khăn. Một lý thuyết trọn vẹn cho độ an toàn giao thức cần tiếp tục phát triển, song song với nó là bộ công cụ trực tiếp kiểm định đánh giá thời gian thực là yêu cầu cấp thiết hiện nay. Mật mã hạng nhẹ và ẩn mã cũng đã có rất nhiều kết quả ứng dụng thực tế, chúng vẫn là những lĩnh vực có nhiều tiềm năng để khai thác và phát triển.
Một cách khái quát, độ mật (hay lượng mật) không chỉ là định tính mà còn phải đo được, định lượng được. Độ dài khóa (hay không gian khóa mật) là cái quyết định độ mật. Độ dài khóa đó suy giảm đến đâu khi đưa hệ mật đó vào thưc tế là do các tấn công kênh kề tác động trực tiếp tới; độ suy giảm thực tế đến đâu cũng cần phải định lượng được. Do đó, vừa nghiên cứu về độ an toàn lý thuyết, vừa nghiên cứu độ an toàn thực tế sẽ là hai mặt song song tồn tại để hỗ trợ nhau phát triển. Thời gian tới, độ an toàn thực tế sẽ là lĩnh vực nóng, hứa hẹn nhiều kết quả bất ngờ do môi trường thế giới phẳng ngày nay.
Tạp chí An toàn thông tin phản ánh KH-CN mật mã
Là tạp chí chuyên ngành duy nhất tại Việt Nam phổ biến về lĩnh vực KH-CN mật mã, nhìn lại 10 năm qua, Tạp chí đã có nhiều bài viết có ý nghĩa thiết thực. Qua các bài viết đã phổ biến, cập nhật các kiến thức chung về mật mã, giới thiệu những thành tựu và những kết quả cơ bản của KH-CN mật mã thế giới và những ứng dụng cụ thể trong lĩnh vực ATTT. Tạp chí đã có đóng góp thiết thực giúp các nhà lãnh đạo quản lý cũng như giới khoa học trong nước hoạch định chiến lược phát triển ATTT cho xã hội Việt Nam, đồng thời có cái nhìn toàn diện hơn về lĩnh vực ATTT trong xã hội hiện đại. Gần đây, Tạp chí cũng cho ra đời Chuyên san nghiên cứu khoa học - công nghệ trong lĩnh vực an toàn thông tin, đây thực sự là môi trường tốt cho các nhà khoa học đăng tải, trao đổi các kết quả nghiên cứu cả về lý thuyết và ứng dụng mật mã trong ATTT. Đồng thời sẽ là diễn dàn tập hợp các nhà khoa học trong và ngoài nước tham gia thúc đẩy khoa học ATTT góp phần xây dựng phát triển đất nước ta trong thời kỳ mới.
Các bài viết về mật mã thường xuất hiện trong 2 chuyên mục Giải pháp - Công nghệ và Thông tin - Tư liệu. Trong thời gian tới chúng ta cũng cần lưu ý hơn nữa tới tính hệ thống của các vấn đề KH-CN mật mã được chọn đăng, để người đọc vừa có cái nhìn tổng thể vừa có được các kết quả chuyên sâu. Ngoài việc giới thiệu các kết quả của thế giới, Tạp chí ATTT cần dành sự quan tâm nhiều hơn nữa tới các kết quả nghiên cứu ứng dụng của thực tiễn trong các Bộ, ngành, các tổ chức và các doanh nghiệp trong nước, nhằm quảng bá rộng hơn nữa các ứng dụng của ATTT trong từng lĩnh vực cụ thể. Thêm vào đó, việc quảng bá các kết quả ứng dụng trong của Tạp chí sẽ tạo môi trường và điều kiện để tập hợp và hình thành cộng đồng nghiên cứu về mật mã và ATTT, hỗ trợ các tài năng trẻ tham gia nghiên cứu trong lĩnh vực này. Đồng thời góp phần xúc tiến cho việc tổ chức các hội nghị khoa học về mật mã và ATTT của quốc tế tại Việt Nam.