TLS là gì?
Nội dung bài viết:
1. TLS là gì?
2. Giao thức TLS Protocol: Những gì giao thức này thực hiện
3. Các phiên bản khác nhau của TLS
4. Sự khác biệt giữa SSL và TLS là gì?
5. Nguyên lý hoạt động của thuật toán TLS Algorithm
6. TLS thường được sử dụng ở đâu?
7. Tại sao mã hóa TLS lại quan trọng?
8. Tại sao bạn nên biết TLS cho các dịch vụ và trang web?
1. TLS là gì?
- TLS là viết tắt của Transport Layer Security. Đây là một dạng giao thức bảo mật (Security Protocol) cung cấp mức độ riêng tư cao, cũng như tính toàn vẹn của dữ liệu khi giao tiếp bằng mạng và internet. TLS là tiêu chuẩn được sử dụng trong việc bảo mật các ứng dụng web (Web applications) và trang web (Websites) trên khắp thế giới kể từ khi được giới thiệu vào năm 1999. Nó là sự kế thừa và thay thế cho hệ thống SSL (Lớp cổng bảo mật - Secure Socket Layer) cũ hơn. Nó thường được gọi là SSL khi nói đến các doanh nghiệp giải thích các tính năng an toàn mà họ có cho trang web và bảo mật dữ liệu của họ. Mặc dù TLS được kết hợp phổ biến nhất với việc duyệt web, nó cũng được sử dụng cho một loạt các hình thức ứng dụng khác mà yêu cầu về bảo mật, chẳng hạn như nhắn tin tức thì (Instant Messaging), email, mạng VoIP (VoIP networks) và các chức năng tương tự. Việc sử dụng và phát triển rộng rãi của nó đã cung cấp thêm tính bảo mật (Security), quyền riêng tư (Privacy) và hiệu suất (Performance) tốt hơn - đặc biệt là kể từ khi phát hành TLS 1.3, phiên bản mới nhất của Giao thức TLS Protocol. TLS được sử dụng tích cực trong phần lớn các trình duyệt (Browsers), như được biểu thị bằng biểu tượng ổ khóa, gợi ý mã hóa các trang web bạn đang xem. HTTPS được coi là hình thức trang web được bảo vệ nhiều hơn, nhờ vào việc sử dụng giao thức TLS Protocol để bảo vệ khách truy cập bất cứ khi nào dữ liệu được trao đổi.
2. Giao thức TLS Protocol: Những gì giao thức này thực hiện
- Giao thức TLS Protocol là một dạng giao thức bảo mật, như tên gọi của nó. Thông thường, TLS được kết hợp với các giao thức bảo mật khác như TCP để cung cấp mức độ toàn vẹn và an toàn tối ưu khi nào và ở đâu. Giao thức TLS được tạo thành từ ba yếu tố chính, mỗi yếu tố đều cực kỳ quan trọng đối với quá trình bảo mật thông tin và dữ liệu. Ba thành phần này là:
-
Mã hóa (Encryption)
-
Chức năng mã hóa của TLS hoạt động để che giấu bất kỳ dữ liệu nào được chuyển từ bên thứ ba hoặc các cá nhân và hệ thống trái phép. Đây là yếu tố đảm bảo dữ liệu của bạn không thể bị truy cập bởi các nguồn bên ngoài, cho dù đó là thông tin hàng ngày như tên và địa chỉ của bạn hay dữ liệu nhạy cảm cao như chi tiết ngân hàng hoặc thông tin thanh toán.
-
Xác thực (Authentication)
-
Không giống như xác thực hai yếu tố, yêu cầu đầu vào trực tiếp từ người dùng, TLS có xác thực được tích hợp sẵn trong giao thức của nó. Yếu tố xác thực này hoạt động để đảm bảo rằng những người gửi và nhận thông tin đúng như họ nói, để bảo vệ dữ liệu khỏi sự truy cập thông qua tin tặc hoặc bên thứ ba.
-
Tính toàn vẹn (Integrity)
-
Như đã đề cập trong phần mô tả về TLS, một trong những thành phần quan trọng của giao thức TLS Protocol là cung cấp tính toàn vẹn của dữ liệu trên bất kỳ hình thức giao tiếp kỹ thuật số và dựa trên internet nào. Quá trình này xác minh rằng dữ liệu được trao đổi không bị tráo, giả mạo hoặc thay đổi theo cách khác như một phần của quá trình. Tính toàn vẹn của dữ liệu là một phần quan trọng của giao thức, vì nó đảm bảo rằng dữ liệu được xác minh ngoài việc người dùng được xác thực. Cùng với các yếu tố cụ thể mà Giao thức TLS Protocol bao gồm, quá trình thực tế của kết nối TLS cũng bao gồm các hành động (Actions) và yêu cầu (Requirements) cụ thể. Quá trình khởi đầu cho việc xác mình tính toán vẹn gọi là Quá trình bắt tay TLS – “TLS handshake”, quá trình này bắt đầu khi bắt đầu một cá nhân truy cập vào một trang web hoặc truyền dữ liệu. Sự bắt tay này tạo thành một bộ mật mã (Cipher Suite) cho mọi giao tiếp, tại thời điểm đó tất cả các khóa phiên (Session keys) - còn được gọi là khóa mã hóa (Encryption keys) - sẽ được khớp để đáp ứng ba yếu tố của TLS đã nêu ở trên. Việc bắt đầu và hoàn thành bắt tay thực tế xảy ra trong vài giây đầu tiên nhưng liên quan đến nhiều quy trình liên quan như xác thực thông qua xác nhận danh tính máy chủ (Confirming Rerver Identity), cũng như xác minh tính toàn vẹn của dữ liệu (Verifying the Integrity of Data). Lúc mới ra mắt, SSL và TLS đều hoạt động tương đối chậm, khiến thời gian từ khi bắt đầu đến khi hoàn thành kéo dài hơn. Thời gian tải và mức năng lượng cần thiết này đã được giảm xuống khi TLS trở nên hợp lý hơn và khi máy tính trở nên mạnh mẽ hơn. Ngày nay, phần lớn các trang web sử dụng giao thức TLS Protocol, ngoài các hệ thống nhắn tin tức thì, email, v.v. Là chuẩn mực trên phần lớn các giao tiếp internet, TLS hiện được coi là một phần thiết yếu của ‘trải nghiệm internet’ thay vì là một lớp bảo mật bổ sung.
3. Các phiên bản khác nhau của TLS
- Cũng như nhiều công nghệ, TLS đã phát triển trong nhiều năm kể từ khi được công bố là kế thừa của SSL vào năm 1999. Phiên bản gốc của TLS được biết đến là TLS 1.0 và phiên bản này có rất ít sự khác biệt giữa TLS và SSL, mặc dù một số cải tiến bảo mật rõ rệt đã được đưa vào khi chuyển đổi. Ngoài lần ra mắt đầu tiên này, TLS đã được cập nhật và xuất bản hai lần và phiên bản 1.3 hiện được coi là bản nháp đang hoạt động kể từ tháng 1 năm 2016. Các phiên bản của TLS cho đến nay như sau:
-
TLS 1.0
-
Được phát hành vào năm 1999, TLS 1.0 có một số điểm tương đồng với SSL 3.0 và chỉ cần nâng cấp hoặc hiện đại hóa các giao thức và quy trình cụ thể để làm cho hệ thống phù hợp hơn với các máy tính và kết nối internet vào đầu những năm 2000. Phiên bản TLS này đã được phát hành theo RFC 2246.
-
TLS 1.1
-
TLS 1.1 đại diện cho sự phát triển thực sự đầu tiên của giao thức TLS Protocol, được phát hành vào năm 2006. Một số thay đổi và khác biệt đáng kể đã được bao gồm trong bản cập nhật này, bao gồm việc thay thế IV ngầm định (Implicit IV), hoặc Véc tơ khởi tạo (Initialization Vector), bằng một phiên bản rõ ràng để cung cấp khả năng bảo vệ tốt hơn chống lại cuộc tấn công mạng (Cyber Attacks), chẳng hạn như như Chuỗi khối mật mã (Cipher Block Chaining). Phiên bản này của TLS cũng đã thay đổi một số cách xử lý lỗi hoàn tất và đăng ký để cập nhật và phù hợp với việc sử dụng internet năm 2006. Các ghi chú và giải thích cũng được đưa vào liên quan đến các hình thức tấn công mạng mới. Phiên bản TLS này đã được xuất bản theo RFC 4346.
-
TLS 1.2
-
TLS 1.2 là bản cập nhật quan trọng thứ hai của giao thức TLS và là dạng TLS tiêu chuẩn vẫn được sử dụng cho đến ngày nay. Được phát hành vào năm 2008, TLS 1.1 và 1.2 là bản cập nhật gần nhất trong số các bản cập nhật TLS, cung cấp các cải tiến bảo mật đáng kể cũng như cải thiện tốc độ và khả năng cho máy chủ và máy khách hoạt động thông qua quá trình bắt tay và chấp nhận tất cả các thuật toán liên quan đến quy trình TLS. Cải tiến quan trọng nhất mà TLS 1.2 bao gồm là việc sử dụng các thuật toán an toàn hơn để an toàn dữ liệu tổng thể tốt hơn. Phiên bản TLS này đã được xuất bản theo RFC 5246.
-
TLS 1.3
-
TLS 1.3 là dạng giao thức TLS mới nhất và hiện đang ở dạng thử nghiệm đang hoạt động kể từ khi được công bố vào năm 2016. Bản cập nhật này nhằm mục đích cải thiện đáng kể giao thức bảo mật hiện có, đảm bảo internet an toàn hơn và phương thức truyền dữ liệu tổng thể an toàn hơn. Sự phát triển mới nhất này của TLS là để đối phó với các kỹ thuật hack ngày càng tinh vi được sử dụng để truy cập vào dữ liệu nhạy cảm, riêng tư như chi tiết ngân hàng hoặc thông tin thanh toán. Một số cải tiến đã được lên kế hoạch bao gồm cho phép độ dài của cookie tăng lên, cải thiện quy trình bắt tay và yêu cầu chữ ký số cho tất cả giao tiếp dữ liệu. Vì TLS 1.3 vẫn ở dạng bản thử nghiệm nên có thể sẽ thay đổi rất nhiều - nhưng mục tiêu chung của bản cập nhật này là cải thiện hệ thống hiện có và cập nhật nó để đáp ứng nhu cầu của người dùng hiện tại.
4. Sự khác biệt giữa SSL và TLS là gì?
- Vì TLS là phiên bản kế thừa của SSL, sự khác biệt chính giữa cả hai là những cải tiến đã thực hiện trên một số phiên bản kể từ năm 1999 trở đi. Phiên bản đầu tiên của TLS có rất ít khác biệt với SSL. Tuy nhiên, phiên bản TLS hiện đang được sử dụng - phiên bản 1.2 - và phiên bản 1.3 sắp tới đều có những cải tiến rõ rệt so với SSL gốc. Những cải tiến này bao gồm mã hóa tốt hơn, các tính năng để chống lại các vấn đề hiện đại về bảo mật và bắt tay ‘TLS handshake’ toàn diện hơn, tất cả đều giúp làm cho TLS trở thành một phiên bản SSL nâng cao hơn nói chung. Một số khác biệt cụ thể giữa cả hai là hỗ trợ cho các bộ mật mã cụ thể. Ví dụ: SSL cung cấp hỗ trợ cho Fortezza, trong khi TLS thì không - nhưng được tiêu chuẩn hóa hơn, điều này làm cho nó phù hợp với toàn bộ các bộ mật mã mới hơn. TLS cũng không có thông báo cảnh báo cụ thể liên quan đến chứng chỉ, thứ được bao gồm như một phần của SSL. Sự khác biệt giữa SSL và TLS là rất nhỏ, đó là lý do tại sao nhiều người sử dụng cả hai thuật ngữ để có nghĩa giống nhau - TLS đơn giản là hiện đại hơn và do đó phổ biến hơn nhiều vì nó được cập nhật hơn.
5. Nguyên lý hoạt động của thuật toán TLS Algorithm
- Thuật toán TLS Algorithm sử dụng một loạt các chức năng mật mã khác nhau để đạt được mục tiêu cuối cùng của nó. Nó sử dụng cả hai dạng mật mã đối xứng (Symmetric Cryptography) và không đối xứng (Asymmetric cryptography). Loại thứ nhất, mật mã đối xứng, có nghĩa là dữ liệu được bảo mật và mã hóa ở cả hai đầu bởi người gửi và người nhận, thông qua 128 hoặc 256 bit. Ngược lại, mật mã không đối xứng sử dụng một cặp khóa - một là khóa công khai (Public key), một là khóa riêng tư (Private key). Các khóa này cho phép người gửi mã hóa dữ liệu, dữ liệu này sau đó phải đáp ứng khóa cá nhân mới được giải mã. Mặc dù nghe có vẻ phức tạp nhưng về bản chất, TLS là một phương pháp chia sẻ thông tin qua các kênh an toàn với việc sử dụng các khóa cụ thể. Tương tự như cách một chiếc chìa khóa mở khóa cửa trong đời thực, các khóa ảo mà TLS sử dụng dữ liệu mở khóa. Điều này ngăn không cho bên thứ ba hiển thị hoặc truy cập thông tin cá nhân, đồng thời cải thiện tổng thể sự an toàn và bảo mật trong trải nghiệm của người dùng.
6. TLS thường được sử dụng ở đâu?
- TLS được sử dụng theo nhiều cách và lĩnh vực trực tuyến khác nhau. Nơi phổ biến nhất mà chúng tôi thấy TLS được sử dụng là trên các trang web. Bất kỳ trang web nào bạn truy cập sử dụng HTTPS: // trong URL của trang web đó đều đang sử dụng tính năng bảo mật quan trọng mà Giao thức TLS Protocol cung cấp. Điều này thường được biểu thị với một ổ khóa bị khóa trong nhiều trình duyệt. Nhưng trong khi việc sử dụng TLS được biết đến nhiều nhất là thông qua các trang web, đây không phải là nơi duy nhất mà cơ chế bảo mật này được triển khai. TLS cũng được sử dụng trong các chức năng nhắn tin và thư khác nhau, bao gồm cả việc gửi và nhận các tin nhắn và email tức thì, cho dù thông qua một ứng dụng dựa trên trình duyệt cụ thể hay thông qua phần mềm bên ngoài. Ngoài ra, TLS thường được triển khai cho các hệ thống điện thoại VoIP sử dụng internet để giao tiếp trực tiếp với khách hàng, trong văn phòng và với các nhân viên khác cũng như ghi lại các cuộc trò chuyện và hơn thế nữa. Là một công cụ đa năng, TLS có nhiều ứng dụng trong các phương tiện kỹ thuật số khác nhau.
7. Tại sao mã hóa TLS lại quan trọng?
- Mã hóa TLS encryption rất cần thiết khi mà thông tin hoặc dữ liệu được chuyển từ người gửi sang người nhận. Nó đảm bảo rằng dữ liệu đến được vị trí được chỉ định mà không bị mất tính toàn vẹn và không có sự can thiệp từ bên thứ ba. Mã hóa TLS encryption là tiêu chuẩn khi nói đến hầu hết các hình thức của phương tiện kỹ thuật số, đặc biệt là khi nói đến các trang web. Ngày nay, điều này xảy ra nhiều đến mức việc không có trang web có URL HTTPS hoặc không sử dụng các phương pháp mã hóa chất lượng, có thể có tác động nghiêm trọng đến các doanh nghiệp và nhận thức của họ đối với cả đối tượng cụ thể và công chúng nói chung. Sự hiểu biết về mức độ nghiêm trọng của tội phạm mạng và hack là kiến thức phổ biến hơn bao giờ hết và việc sử dụng chứng chỉ kỹ thuật số để xác thực hiện đã trở nên phổ biến khi nói đến bất kỳ nền tảng nào mà dữ liệu có thể được gửi hoặc nhận. Để có được sự an tâm và bảo mật nhất quán, mã hóa TLS quan trọng và dễ thấy hơn bao giờ hết. Mục đích cuối cùng của Giao thức TLS Protocol là cung cấp mức độ an toàn và bảo mật và đạt được những điều này bằng cách sử dụng các phương pháp mã hóa để bảo vệ thông tin có giá trị, riêng tư hoặc cá nhân khỏi các bên thứ ba tại tất cả các điểm trong quá trình truyền dữ liệu.
8. Tại sao bạn nên biết TLS cho các dịch vụ và trang web?
- Đối với nhiều doanh nghiệp, TLS là mức tối thiểu được mong đợi về mặt an toàn và bảo mật dữ liệu. Với việc vi phạm và tấn công dữ liệu phổ biến hơn bao giờ hết đối với các dịch vụ (Services) và trang web (Websites) không được cập nhật chứng chỉ kỹ thuật số cũng như các phương pháp bảo mật mã hóa bổ sung, điều cần thiết là phải biết TLS là gì và làm gì. Chọn các dịch vụ và trang web nêu rõ việc sử dụng TLS, cho dù thông qua việc sử dụng HTTPS: // URL hay xác nhận cụ thể cho dịch vụ của họ, bạn có thể đảm bảo mức độ an toàn được tiêu chuẩn hóa cao hơn đối với tính toàn vẹn và cung cấp dữ liệu. Điều này đặc biệt đúng khi nói đến các trang web yêu cầu thông tin thanh toán để cung cấp sản phẩm hoặc dịch vụ. TSL là mức tối thiểu cần thiết để đảm bảo an toàn cho dữ liệu nhạy cảm cao đó. Tuy nhiên, người ta luôn đề xuất rằng xây dựng dựa trên nền tảng TSL là cách lý tưởng để cung cấp sự an toàn và bảo mật dữ liệu cập nhật trước những rủi ro hiện tại và các mối đe dọa mạng (Cyber Threats).
Dịch: N.V.Hùng