Giới mã hoá đang xôn xao với thông tin các thuật toán bên trong nhiều ứng dụng bảo mật thông dụng, như chữ ký điện tử, cũng... có lỗ hổng.
Tuy chỉ mới ở giai đoạn nghiên cứu sơ bộ song những phát hiện này có thể tạo điều kiện để kẻ xấu cài những chương trình cửa sau (backdoor) bí mật vào trong mã máy tính, hoặc giả mạo chữ ký điện tử. Trừ phi một thuật toán mới, bảo mật hơn được xây dựng và đưa vào sử dụng!
Một phát hiện thứ ba, được đón đợi và đánh giá rất cao, dự kiến sẽ được công bố trong hội thảo Crypto 2004 trong tuần này. Hai nhà nghiên cứu Eli Biham và Rafi Chen của Viện Công nghệ Israel sẽ diễn thuyết về cách nhận dạng các hình thức tấn công vào chức năng bảo mật của thuật toán SHA-0, một thuật toán có sơ hở.
Những lỗ hổng bảo mật được cho là "nghiêm trọng" bên trong thuật toán SHA-0 và SHA-1, tuỳ thuộc vào mức độ chi tiết của phần trình bày, có thể làm chấn động cả ngành bảo mật. Từ trước tới nay, SHA-1 vẫn được coi là chuẩn mực "vàng" về thuật toán. Nó được tích hợp bên trong rất nhiều chương trình thông dụng như PGP và SSL, được chứng thực bởi Viện Chuẩn Công nghệ Quốc gia và là thuật toán chữ ký điện tử duy nhất được Cơ quan Chuẩn Chữ ký Số của chính phủ Mỹ phê chuẩn.
Cả ba thuật toán MD5, SHA-0 và SHA-1 đều được giới khoa học máy tính coi là "đa chức năng". Chúng có thể nhận mọi dạng dữ liệu đầu vào, từ tin nhắn email cho đến hạt nhân (kernel) của hệ điều hành, cũng như tạo ra một dấu vân tay số duy nhất. Chỉ thay đổi một ký tự bất kỳ bên trong file đầu vào cũng tạo ra những dấu vân tay hoàn toàn khác nhau. Các ứng dụng bảo mật đều dựa vào tính năng "dấu vân tay duy nhất" này làm nền. Tuy nhiên, nếu kẻ tấn công có thể tạo ra một dấu vân tay "Dolly" với một dòng dữ liệu đầu vào khác, dấu vân tay "sinh sản vô tính" này sẽ khiến phần mềm bị gài backdoor nhận dạng nhầm. Kết quả là chúng có thể tạo ra chữ ký giả để vét sạch tài khoản ngân hàng của người sử dụng không may.
Tất nhiên, từ rất lâu, giới nghiên cứu đã hiểu rằng không có thuật toán mã hoá thực tiễn nào là tuyệt đối an toàn và bảo mật. Tuy vậy, họ vẫn nỗ lực thiết kế ra những thuật toán mà thời gian cần để tạo ra một dấu vân tay "Dolly" là vô tận, với hy vọng kẻ tấn công sẽ nản lòng. Thế nhưng nếu những sơ hở tương tự như của SHA-0 cũng được tìm thấy trong SHA-1, điều này đồng nghĩa với việc tốc độ giả mạo một dấu vân tay sẽ được đẩy nhanh lên... 500 triệu lần, hoàn toàn trong tầm tay của một mạng máy tính tốc độ cao.
Tuy mức độ tác hại ít trầm trọng hơn song sơ hở bảo mật trong thuật toán MD5 có lẽ lại gây hậu quả ngay tức thì. Sản phẩm máy chủ Apache Web nguồn mở đang sử dụng MD5 để kiểm duyệt những website có mã nguồn chưa bị chỉnh sửa, từ đó sẽ an toàn khi chạy trong máy. Tương tự, sẽ là cơ sở dữ liệu Solaris của Sun Microsystems, với khả năng mà theo hãng tự nhận là "xác minh một file đích thực chứ không phải phiên bản bị điều chỉnh để hạ gục hệ thông bảo mật''.
Lỗ hổng mới phát hiện trong MD5 sẽ cho phép kẻ tấn công tạo ra file giả mạo chỉ trong vài giờ với một máy tính đạt chuẩn. "Giờ đây, người ta đã chứng minh được các thuật toán này có lỗ hổng. Trước khi kẻ tấn công lợi dụng khai thác được, đã đến lúc phải thôi dần việc sử dụng MD5.'' - nhà phân tích Hughes của Viện Chuẩn Công nghệ Quốc gia nhận định.
Cầm Thi (Tổng hợp)