Đồ án Tốt nghiệp: Tìm hiểu lược đồ chuyển đổi bản rõ trong chuẩn mật mã RSA

Hệ mật mã RSA ra đời từ nhu cầu về một phương pháp trao đổi khóa an toàn giữa các bên không quen biết. Nguyên lý cốt lõi của RSA dựa trên việc tạo ra một cặp khóa: khóa công khai để mã hóa và khóa bí mật để giải mã. Quá trình này bắt đầu bằng việc chọn hai số nguyên tố lớn, nhân chúng lại để tạo ra một modulo. Từ đó, các giá trị khóa công khai (e) và khóa bí mật (d) được tính toán, sao cho bản mã c = m^e mod n và bản rõ m = c^d mod n. Sự an toàn của RSA phụ thuộc vào việc giữ bí mật khóa riêng (d) và độ khó trong việc phân tích thừa số nguyên tố của n. Với sự phát triển của công nghệ, kích thước khóa RSA ngày càng tăng để duy trì mức độ bảo mật cần thiết, thể hiện tầm quan trọng của nó trong an toàn mật mã.

Mặc dù mạnh mẽ, RSA truyền thống có một số điểm yếu nếu không được triển khai đúng cách. Một trong những thách thức lớn nhất là tính tất định của quá trình mã hóa. Nếu kẻ tấn công có thể đoán được bản rõ (ví dụ, một thông điệp ngắn, giá trị số nhỏ), chúng có thể mã hóa thử và so sánh kết quả với bản mã đã thu được. Các cuộc tấn công như 'chosen-plaintext attack' hoặc 'padding oracle attack' đã chỉ ra rằng việc mã hóa bản rõ trực tiếp có thể dẫn đến việc tiết lộ thông tin nhạy cảm. Đây là lý do tại sao các lược đồ chuyển đổi bản rõ trở nên cần thiết, giúp gia tăng đáng kể tính ngẫu nhiên và phức tạp cho bản rõ trước khi nó được mã hóa bằng mật mã RSA, từ đó tăng cường an toàn mật mã.

Sự cần thiết của chuyển đổi bản rõ RSA xuất phát từ yêu cầu nâng cao khả năng chống tấn công của hệ mật. Một bản rõ được chuyển đổi sẽ không còn giữ nguyên định dạng gốc mà được bổ sung thêm các trường ngẫu nhiên (padding) và các thông tin cấu trúc. Điều này đảm bảo rằng cùng một bản rõ khi mã hóa nhiều lần sẽ tạo ra các bản mã khác nhau, loại bỏ tính tất định. Ngoài ra, việc thêm padding còn giúp tăng kích thước hiệu dụng của bản rõ, tránh việc mã hóa các số quá nhỏ mà có thể dễ dàng bị tấn công bằng Brute-force. Các lược đồ chuyển đổi bản rõ còn có khả năng phát hiện lỗi trong quá trình giải mã, cung cấp một lớp bảo vệ bổ sung chống lại các cuộc tấn công thao túng bản mã, góp phần củng cố an toàn mật mã của hệ mật RSA.

Lược đồ PKCS #1 v1.5 chuyển đổi bản rõ thành một khối dữ liệu mã hóa (EB) có cấu trúc cố định. Khối EB bao gồm: byte 0x00, byte loại khối (BT), chuỗi padding (PS), byte 0x00, và bản rõ (D). Byte loại khối BT thường là 0x01 cho chữ ký số hoặc 0x02 cho mã hóa. Chuỗi padding PS là một chuỗi các byte 0xFF nếu BT là 0x01, hoặc các byte ngẫu nhiên khác 0x00 nếu BT là 0x02. Điều kiện là PS phải có độ dài tối thiểu 8 byte. Quá trình mã hóa sử dụng RSA sau đó sẽ áp dụng hàm lũy thừa modulo lên khối EB này. Cấu trúc PKCS #1 v1.5 đơn giản này giúp đảm bảo bản rõ đủ dài và có cấu trúc nhất định, nhưng lại không cung cấp tính ngẫu nhiên đủ mạnh.

Khi giải mã với PKCS #1 v1.5, sau khi thực hiện giải mã RSA để thu được khối EB, hệ thống cần phân tích cấu trúc của khối này. Quy trình giải mã PKCS #1 v1.5 bao gồm việc xác định các trường 0x00, BT, PS và D. Nếu cấu trúc không khớp với định dạng chuẩn (ví dụ, octet đầu tiên không phải 0x00, PS không đủ dài hoặc các giá trị không phù hợp với BT), thì đây là dấu hiệu của lỗi dữ liệu hoặc một cuộc tấn công mật mã. Chức năng phát hiện lỗi PKCS #1 v1.5 này, mặc dù hữu ích, lại có thể bị lợi dụng trong các cuộc tấn công padding oracle, nơi kẻ tấn công sử dụng các thông báo lỗi để dần dần giải mã bản mã mà không cần khóa bí mật, làm giảm an toàn mật mã.

Hạn chế PKCS #1 v1.5 chủ yếu nằm ở tính tất định và khả năng tạo ra các lỗi có thể phân biệt được. Trong trường hợp mã hóa, nếu padding ngẫu nhiên không đủ tốt, kẻ tấn công có thể khai thác. Cuộc tấn công mật mã nổi tiếng nhất nhắm vào PKCS #1 v1.5 là Bleichenbacher's attack (1998) chống lại việc sử dụng PKCS #1 v1.5 để mã hóa khóa phiên (session key) trong SSL/TLS. Cuộc tấn công này dựa vào việc phân biệt các thông báo lỗi trả về từ máy chủ khi giải mã một bản mã được tạo ra với padding không hợp lệ, từ đó cho phép kẻ tấn công từng bước khám phá khóa phiên. Điều này đã thúc đẩy sự phát triển của các lược đồ chuyển đổi bản rõ mạnh mẽ hơn để tăng cường an toàn mật mã.

OAEP đại diện cho một cải tiến OAEP đáng kể so với các lược đồ padding trước đó. Nó chuyển đổi bản rõ thành một khối dữ liệu có cấu trúc phức tạp, không chỉ thêm padding ngẫu nhiên mà còn trộn lẫn bản rõ với một chuỗi ngẫu nhiên (seed) thông qua các hàm băm và MGF. Điều này tạo ra một khối dữ liệu được xáo trộn cao, mang lại tính ngẫu nhiên cần thiết cho quá trình mã hóa RSA. Mục tiêu chính của OAEP là đảm bảo rằng quá trình giải mã chỉ có thể thành công nếu bản mã không bị giả mạo và không cho phép kẻ tấn công phân biệt được các lỗi giải mã. Điều này làm cho lược đồ chuyển đổi bản rõ RSA OAEP trở nên mạnh mẽ hơn nhiều trong việc chống lại các cuộc tấn công mật mã.

Quy trình OAEP chuyển đổi bản rõ (M) thành một khối dữ liệu (DB) thông qua các bước phức tạp. Đầu tiên, M được thêm padding và kết hợp với một chuỗi ngẫu nhiên (seed) bằng các phép toán XOR và các hàm băm. Cụ thể, nó sử dụng hai hàm băm, H và G (là hàm sinh mặt nạ MGF), để tạo ra hai khối dữ liệu bị che mặt. Khối dữ liệu cuối cùng được tạo thành bằng cách kết hợp seed đã che mặt và bản rõ đã che mặt. Quá trình giải chuyển đổi bản rõ OAEP đảo ngược các bước này, tách seed và bản rõ, đồng thời kiểm tra tính hợp lệ của padding. Nếu có bất kỳ sự không nhất quán nào, quá trình giải mã sẽ thất bại, thường là không đưa ra thông báo lỗi chi tiết, nhằm tránh các cuộc tấn công oracle.

Hàm sinh mặt nạ MGF (Mask Generation Function) là một thành phần quan trọng trong bảo mật OAEP. MGF là một hàm chuyển đổi dữ liệu đầu vào có độ dài tùy ý thành dữ liệu đầu ra có độ dài cố định hoặc tùy ý, sử dụng một hàm băm cơ bản (thường là SHA-1 hoặc SHA-256). Vai trò của MGF là tạo ra các chuỗi ngẫu nhiên giả từ một hạt giống ngắn, được sử dụng để che mặt (mask) cho bản rõ và hạt giống thực. Điều này làm tăng độ phức tạp và tính ngẫu nhiên của khối dữ liệu được mã hóa, đảm bảo rằng mọi thay đổi nhỏ trong bản mã sẽ dẫn đến một bản rõ hoàn toàn khác biệt sau khi giải mã, từ đó ngăn chặn các cuộc tấn công dựa trên việc thay đổi bản mã và củng cố an toàn mật mã.

Sự khác biệt cốt lõi giữa PKCS #1 v1.5 và OAEP nằm ở cấu trúc bảo mật và cách chúng xử lý tính ngẫu nhiên. PKCS #1 v1.5 sử dụng một cấu trúc padding đơn giản, dễ dự đoán, chỉ thêm một chuỗi các byte 0xFF hoặc ngẫu nhiên đơn giản. Điều này dẫn đến tính tất định trong mã hóa nếu bản rõ không thay đổi. Trong khi đó, OAEP sử dụng một kiến trúc phức tạp hơn, tích hợp hai hàm băm và một hàm sinh mặt nạ (MGF) để trộn lẫn bản rõ với một hạt giống ngẫu nhiên. Điều này tạo ra một khối dữ liệu được xáo trộn cao, đảm bảo mã hóa mang tính xác suất và chống lại các cuộc tấn công dựa trên tính tất định, từ đó nâng cao an toàn mật mã.

Ưu nhược điểm lược đồ PKCS #1 v1.5 là sự đơn giản, dễ triển khai và tương thích rộng rãi với các hệ thống cũ. Tuy nhiên, nhược điểm lớn nhất là tính dễ bị tổn thương trước các cuộc tấn công padding oracle. Đối với OAEP, ưu điểm là cung cấp mức độ bảo mật cao hơn nhiều, chống lại các cuộc tấn công lựa chọn bản mã và padding oracle nhờ vào tính ngẫu nhiên và khả năng che giấu lỗi giải mã. Nhược điểm của OAEP là sự phức tạp trong triển khai và chi phí tính toán cao hơn, đồng thời yêu cầu kích thước khóa lớn hơn một chút để chứa padding. Việc lựa chọn giữa hai lược đồ này phụ thuộc vào yêu cầu về hiệu suất, khả năng tương thích và mức độ an toàn mật mã mong muốn.

Nên sử dụng OAEP trong hầu hết các ứng dụng mật mã RSA mới, đặc biệt là khi yêu cầu mức độ an toàn mật mã cao chống lại các cuộc tấn công tinh vi như chosen-ciphertext attacks. Các chuẩn hiện đại khuyến nghị và đôi khi bắt buộc sử dụng OAEP cho mã hóa RSA. PKCS #1 v1.5 có thể vẫn được sử dụng PKCS #1 v1.5 trong các tình huống cần tương thích ngược với các hệ thống cũ không thể nâng cấp, hoặc trong các ngữ cảnh mà phân tích rủi ro cho thấy các cuộc tấn công nhắm vào v1.5 không khả thi hoặc không đáng kể. Tuy nhiên, cần hết sức thận trọng và hiểu rõ các rủi ro khi vẫn duy trì PKCS #1 v1.5.

Để minh họa lược đồ chuyển đổi bản rõ, chương trình cần đáp ứng các yêu cầu cơ bản như khả năng xử lý số nguyên lớn, thực hiện các phép toán modulo, và tích hợp các hàm băm chuẩn (ví dụ: SHA-1, SHA-256). Lựa chọn công cụ lập trình có thể là C#, Java, Python hoặc C++, tùy thuộc vào sự quen thuộc và thư viện hỗ trợ mật mã của từng ngôn ngữ. Ví dụ, .NET Framework trong C# cung cấp lớp RNGCryptoServiceProvider để sinh chuỗi ngẫu nhiên Seed, rất cần thiết cho OAEP. Việc lựa chọn công cụ phù hợp sẽ giúp giảm thiểu thời gian phát triển và tập trung vào logic cốt lõi của lược đồ chuyển đổi bản rõ.

Chương trình chuyển đổi bản rõ OAEP thường bao gồm các bước chính sau: 1. Kiểm tra tính hợp lệ của bản rõ đầu vào (ví dụ: chuỗi ký tự hợp lệ, kích thước phù hợp). 2. Tạo hoặc nhận hạt giống ngẫu nhiên (seed). 3. Áp dụng hàm băm và các phép XOR để tạo khối dữ liệu DB. 4. Sử dụng hàm sinh mặt nạ (MGF) để tạo mặt nạ cho DB và seed. 5. Kết hợp các khối đã che mặt để tạo ra khối dữ liệu cuối cùng sẵn sàng cho mã hóa RSA. Các bước này cần được triển khai chính xác theo tiêu chuẩn OAEP để đảm bảo an toàn mật mã và khả năng giải mã thành công.

Kiểm tra tính hợp lệ và xử lý lỗi là các khía cạnh quan trọng của chương trình minh họa. Ví dụ, chương trình cần kiểm tra nếu chuỗi bản rõ (M) chứa các ký tự không thuộc hệ cơ số 16 hoặc có kích thước vượt quá giới hạn cho phép. (Ví dụ, nếu M = "123XAB" sẽ báo lỗi ký tự không hợp lệ; nếu M quá dài so với k - 2*hLen - 2, trong đó k là kích thước khóa, hLen là kích thước đầu ra hàm băm, cũng sẽ báo lỗi). Các thông báo lỗi rõ ràng giúp người dùng hiểu vấn đề. Đối với lược đồ OAEP, kích thước tối đa của M là k - 2*hLen - 2 octet. Việc xử lý lỗi đúng đắn đảm bảo chương trình hoạt động ổn định và chính xác theo chuẩn mật mã RSA.

Vai trò quan trọng của lược đồ chuyển đổi bản rõ RSA là không thể phủ nhận trong việc đảm bảo an toàn mật mã của các hệ thống sử dụng mật mã RSA. Chúng biến đổi bản rõ gốc thành một định dạng khó bị tấn công hơn, thêm tính ngẫu nhiên và cấu trúc cần thiết để chống lại các cuộc tấn công tinh vi như padding oracle và chosen-ciphertext attacks. Các lược đồ này không chỉ là một lớp bảo vệ bổ sung mà còn là một phần không thể thiếu để hệ mật RSA hoạt động an toàn theo đúng thiết kế của nó, đặc biệt khi xử lý các dữ liệu nhạy cảm.

Các thách thức bảo mật đối với RSA bao gồm khả năng bị phá vỡ bởi máy tính lượng tử, cần có các phương pháp chống lượng tử hoặc thay thế bằng mật mã hậu lượng tử. Ngoài ra, việc phát triển các lược đồ chuyển đổi bản rõ hiệu quả hơn về mặt tính toán và có khả năng chống lại các loại tấn công mới nổi cũng là một hướng nghiên cứu mới RSA. Mục tiêu là giảm thiểu rủi ro từ các cuộc tấn công dựa trên kênh phụ (side-channel attacks) hoặc các lỗ hổng trong triển khai. Việc tích hợp chặt chẽ các lược đồ này với các tiêu chuẩn mã hóa khác cũng là một lĩnh vực được quan tâm để nâng cao tổng thể an toàn mật mã.

Để triển khai RSA an toàn, các lời khuyên bao gồm: luôn sử dụng các lược đồ chuyển đổi bản rõ hiện đại và đã được kiểm chứng như OAEP, tránh xa PKCS #1 v1.5 trừ khi có yêu cầu tương thích bắt buộc. Đảm bảo sử dụng hàm băm mạnh (ví dụ: SHA-256 trở lên) và nguồn sinh số ngẫu nhiên chất lượng cao. Kích thước khóa RSA nên đủ lớn (ví dụ: 2048 bit trở lên) và được tạo ra một cách an toàn. Cuối cùng, cần thường xuyên cập nhật phần mềm và thư viện mật mã để khắc phục các lỗ hổng đã biết, đồng thời theo dõi các khuyến nghị mới nhất từ cộng đồng an toàn mật mã để duy trì mức độ bảo vệ cao nhất cho hệ mật RSA.