BatteryX Technologi - Medical File part 15

Phương pháp mã hoá 40bit được sử dụng rộng rãi không hạn chế ngoài nước Mỹ và phiên bản mã hoá 128bit chỉ được sử dụng trong nước Mỹ và Canada. Theo luật pháp Mỹ, các mật mã "mạnh" được phân loại vào nhóm "vũ khí" (weapon) và do đó khi sử dụng ngoài Mỹ (coi như là xuất khẩu vũ khí) phải được phép của chính phủ Mỹ hay phải được cấp giấy phép của Bộ Quốc phòng Mỹ (DoD).
Nội dung trích xuất từ tài liệu:
BatteryX Technologi - Medical File part 15thuộc vào việc sử dụng phiên bản mã hoá 40bit và 128bit. Phương pháp mã hoá40bit được sử dụng rộng rãi không hạn chế ngoài nước Mỹ và phiên bản mã hoá128bit chỉ được sử dụng trong nước Mỹ và Canada. Theo luật pháp Mỹ, các mậtmã mạnh được phân loại vào nhóm vũ khí (weapon) và do đó khi sử dụngngoài Mỹ (coi như là xuất khẩu vũ khí) phải được phép của chính phủ Mỹ hay phảiđược cấp giấy phép của Bộ Quốc phòng Mỹ (DoD). Đây là một lợi điểm cho quátrình thực hiện các dịch vụ thương mại và thanh toán điện tử trong Mỹ và các nướcđồng minh phương Tây và là điểm bất lợi cho việc sử dụng các sản phẩm cần có cơchế bảo mật và an toàn trong giao dịch điện tử nói chung và thương mại điện tử nóiriêng trong các nước khác.Các phương thức tấn công (hay bẻ khoá) của các thuật toán bảo mật thường dùngdựa trên phương pháp tấn công vét cạn (brute-force attack) bằng cách thử-saimiền không gian các giá trị có thể của khoá. Số phép thử-sai tăng lên khi độ dàikhoá tăng và dẫn đến vượt quá khả năng và công suất tính toán, kể cả các siêu máytính hiện đại nhất. Thí dụ, với độ dài khoá là 40bit, thì số phép thử sẽ là240=1,099,511,627,776 tổ hợp. Tuy nhiên độ dài khoá lớn kéo theo tốc độ tínhtoán giảm (theo luỹ thừa nghịch đảo) và dẫn đến khó có khả năng áp dụng trongthực tiễn. Một khi khoá bị phá, toàn bộ thông tin giao dịch trên mạng sẽ bị kiểmsoát toàn bộ. Tuy nhiên do độ dài khoá lớn (thí dụ 128, 256 bít), số phép thử-sai trởnên không thể thực hiện vì phải mất hàng năm hoặc thậm chí hàng nghìn nămvới công suất và năng lực tính toán của máy tính mạnh nhất hiện nay.Ngay từ năm 1995, bản mã hoá 40bit đã bị phá bởi sử dụng thuật toán vét cạn.Ngoài ra, một số thuật toán bảo mật (như DES 56bit, RC4, MD4,...) hiện nay cũngbị coi là không an toàn khi áp dụng một số phương pháp và thuật toán tấn công đặcbiệt. Đã có một số đề nghị thay đổi trong luật pháp Mỹ nhằm cho phép sử dụngrộng rãi các phần mềm mã hoá sử dụng mã hoá 56bit song hiện nay vẫn chưa đượcchấp thuận.Một số thách thức và phá khoá về bảo mậtTrong cộng đồng những người làm bảo mật (security), một trong các phương phápkiểm tra độ độ bảo mật/an toàn của các thuật toán bảo mật, ngoài cơ sở lý thuyếtcủa thuật toán, là đưa ra các thách thức (challenge) với số tiền thưởng tượngtrưng, nhằm kiểm tra tính thực tiễn của thuật toán. Sau đây là một số thông tintham khảo:ã Ngày 14 tháng 7 nǎm 1995, Hal Finney đặt một thách thức SSL đầu tiên một bảnghi phiên làm việc của trình duyệt Netscape sử dụng thuật toán RC4-128-EXPORT-20. Ngày 16 tháng 8 nǎm 1995, David Byers và Eric Young cùng vớiAdam Back đã phá thách thức này trong vòng 2 giờ, chi phí ước tính 10,000 USD.ã Ngày 19 tháng 8 nǎm 1995, Hal Finney đặt một thách thức SSL thứ hai cho cộngđồng những người làm mật mã một key cracking ring và cũng đã bị phá trong 32giờ.ã Ngày 17 tháng 9 nǎm 1995, Ian Goldberg và David Wagner đã phá được thuậttoán sinh số giả ngẫu nhiên (cơ sở cho việc sinh ra số nhận dạng phiên SSL ?session ID) của phiên bản Netscape 1.1 trong vòng vài giờ trên một máy trạm làmviệc. Điều này dẫn đến Netscape sau đó phải nhanh chóng đưa ra phiên bản để sửalỗ hổng của bảo mật trong trình duyệt của mình. Hiện nay phiên bản mới nhấtcủa Netscape có khả nǎng bảo mật an toàn cao nhưng chỉ được phép dùng trongphạm vi nước Mỹ.SSL và ứng dụng thương mại điện tửTrong thực tiễn, sự hiểu biết của người sử dụng về cơ chế bảo mật được sắp đặttrong các giao dịch điện tử trên mạng Internet là ít ỏi và mờ. Tất cả phần lớn dựavào sự tin tưởng (trust), chẳng hạn tên tuổi của các hãng có uy tín (VisaCard,MasterCard,...) và sản phẩm có tính nǎng tốt của các hãng nổi tiếng (Oracle,Microsoft, Netscape,...). Bảo mật và an toàn là vấn đề quan trọng trong việc quyếtđịnh sự phát triển mạnh mẽ thương mại điện tử hoặc hiện nay như chính phủ điệntử (e-government) và tạo lòng tin cho khách hàng và công chúng. Qua phân tích vídụ của bảo mật trong giao thức SSL, cho ta thấy mặt khác của vấn đề: khả nǎng lựachọn công nghệ và mức độ phụ thuộc vào công nghệ, khi xây dựng các ứng dụngnền tảng trong đó có hạ tầng bảo mật thông tin.Việc triển khai các hệ thống ứng dụng sử dụng hạ tầng truyền thông Internet đòihỏi có độ bảo mật cao (đặc biệt trong ngân hàng, tài chính, quốc phòng...) cần phảiđược xây dựng dựa trên sơ đồ gồm các lớp bảo mật nhiều tầng độc lập (thí dụ: giaothức Giao dịch điện tử bảo mật SET (Secure Electronic Transaction), Giao thứckhoá Internet IKP (Internet Keyed Protocol) hoặc PGP (Pretty Good Privacy),thậm chí cả phần cứng, nhằm hạn chế tối đa các lỗ hổng bảo mật của hệ thốnggiao thương điện tử. Ngoài ra cũng cần lưu ý các sản phẩm về bảo mật ứng dụnghiện nay trên mạng máy tính phần lớn được phát minh từ Mỹ, được bảo hộ và kiểmsoát chặt chẽ bởi luật pháp Mỹ dẫn đến khi thực hành xây dựng và triển khai cáchệ thống thông tin và giao dịch thương mại điện tử của chúng ta cần thận trọng vàcân nhắc. ...