Kể từ khi được phát minh vào năm 1991, PGP (Pretty Good Privacy) đã trở thành thước đo tiêu chuẩn trong việc bảo mật email. Bài viết này Vietnix sẽ giúp bạn tìm hiểu lý do tại sao PGP lại được đánh giá coa như vậy.
Mã hóa PGP là gì?
Mã hóa PGP (Pretty Good Privacy) là một giao thức bảo mật hệ thống được các doanh nghiệp và tổ chức sử dụng cho việc mã hóa dữ liệu qua mạng. Ngoài ra, giao thức này kết hợp cả quyền riêng tư và xác thực mật mã để mã hóa, cũng như giải mã các loại file qua mạng như là email, file văn bản, đa phương tiện, thư mục, phân vùng các file nhạy cảm khác.
Sự phổ biến của PGP dựa trên hai yếu tố. Đầu tiên là hệ thống này ban đầu được cung cấp dưới dạng phần mềm miễn phí và lan truyền nhanh chóng giữa những user muốn có thêm mức độ bảo mật cho các email của họ. Thứ hai là vì PGP sử dụng cả mã hóa symmetric và mã hóa public-key, nó cho phép những user chưa từng gặp mặt gửi tin nhắn được mã hóa cho nhau mà không cần trao đổi private encryption key.
Mã hóa PGP hoạt động như thế nào?
PGP chia sẻ một số tính năng với các hệ thống mã hóa khác mà bạn có thể đã nghe nói đến, như mã hóa Kerberos (được sử dụng để xác thực network user) và mã hóa SSL (được sử dụng để bảo mật các trang web).
Ở cấp độ cơ bản, mã hóa PGP sử dụng kết hợp hai hình thức mã hóa: symmetric key, và public-key.
Để hiểu cách PGP hoạt động, hãy xem sơ đồ sau:
- Các thuật toán toán học đằng sau việc mã hóa có thể khá phức tạp (mặc dù bạn có thể xem xét các thuật toán học nếu bạn muốn). Ở đây chúng ta sẽ bám sát các khái niệm cơ bản. Ở cấp độ cao nhất, đây là cách PGP hoạt động:
- Đầu tiên, PGP tạo session key ngẫu nhiên bằng cách sử dụng một trong hai thuật toán chính. Key này là một con số khổng lồ không thể đoán được, và chỉ được sử dụng một lần.
- Tiếp theo, session key này được mã hóa. Điều này được thực hiện bằng cách sử dụng public key của người nhận thư. Public key gắn liền với danh tính của một người cụ thể và bất kỳ ai cũng có thể sử dụng key này để gửi tin nhắn cho họ.
- Người gửi sẽ gửi PGP session key được mã hóa của họ cho người nhận và họ có thể giải mã bằng private key của họ. Sử dụng session key này, người nhận bây giờ có thể giải mã tin nhắn.
Đây có vẻ là một cách kỳ lạ để làm mọi việc. Tại sao chúng ta lại mã hóa chính key mã hóa (encryption key)?
Câu trả lời là khá đơn giản. Mã hóa Public key chậm hơn rất nhiều so với mã hóa symmetric (trong đó cả người gửi và người nhận đều có cùng một key). Tuy nhiên, sử dụng mã hóa symmetric yêu cầu người gửi chia sẻ encryption key với người nhận ở dạng văn bản thuần túy và điều này sẽ không an toàn. Vì vậy, bằng cách mã hóa symmetric key bằng hệ thống public-key (asymmetric), PGP kết hợp hiệu quả của mã hóa symmetric với tính bảo mật của mật mã public-key.
Ví dụ về mã hóa PGP
Trên thực tế, việc gửi một tin nhắn được mã hóa bằng PGP đơn giản hơn so với lời giải thích ở trên. Hãy xem ProtonMail làm ví dụ.
ProtonMail nguyên bản hỗ trợ PGP và tất cả những gì bạn phải làm để mã hóa email của mình là chọn Sign Mail. Bạn sẽ thấy biểu tượng ổ khóa trên người nhận email của họ. Email sẽ trông như thế này (các địa chỉ email đã bị làm mờ vì lý do bảo mật):
ProtonMail giống như hầu hết các email client cung cấp PGP, giúp đơn giản hóa việc mã hóa và giải mã thư. Nếu bạn đang giao tiếp với user bên ngoài ProtonMail, trước tiên bạn cần gửi cho họ public key của mình.
Mặc dù tin nhắn được gửi một cách an toàn, người nhận không phải lo lắng về sự phức tạp của cách thức thực hiện điều này.
3 cách Sử dụng mã hóa PGP
Về cơ bản, có ba cách sử dụng chính của PGP:
- Mã hóa email.
- Xác minh danh tính của người đã gửi cho bạn tin nhắn này.
- Mã hóa các file được lưu trữ trên thiết bị của bạn hoặc trên cloud.
Trong số ba cách sử dụng này, cách đầu tiên – mã hóa email – cho đến nay vẫn là ứng dụng thống trị của PGP. Nhưng chúng ta hãy xem xét sơ lược về cả ba cách
1. Mã hóa Email
Như trong ví dụ trên, hầu hết mọi người sử dụng PGP để mã hóa email. Trong những năm đầu của PGP, nó chủ yếu được sử dụng bởi các nhà hoạt động, nhà báo và những người xử lý thông tin nhạy cảm. Trên thực tế, hệ thống PGP ban đầu được thiết kế bởi một nhà hoạt động chính trị tên là Paul Zimmerman. Gần đây ông đã gia nhập Startpage, một trong những công cụ private search phổ biến nhất.
Ngày nay, sự phổ biến của PGP đã phát triển đáng kể. Khi ngày càng có nhiều user nhận ra rằng các tập đoàn thông tin và chính phủ của họ đang thu thập bao nhiêu thông tin về chúng, thì một số lượng lớn người dân hiện sử dụng để giữ bí mật thông tin cá nhân của họ.
2. Xác minh chữ ký Digital signature
Một cách sử dụng khác của PGP là nó có thể được sử dụng để xác minh email.
Ví dụ: nếu nhà báo không chắc chắn về danh tính của người gửi tin nhắn cho họ. Họ có thể sử dụng Digital signature cùng với PGP để xác minh điều này.
Digital signature hoạt động bằng cách sử dụng một thuật toán học để kết hợp key của người gửi với dữ liệu họ đang gửi. Điều này tạo ra một “hàm hash”, một thuật toán khác có thể chuyển đổi một thông báo thành một khối data có kích thước cố định. Sau đó, thông tin này được mã hóa bằng public key của người gửi.
Sau đó, người nhận thư có thể giải mã data này bằng public key của người gửi. Nếu một ký tự của tin nhắn đã bị thay đổi khi chuyển tiếp, người nhận sẽ biết. Điều này có thể chỉ ra rằng người gửi đã cố gắng giả mạo Digital signature hoặc thư đã bị giả mạo.
3. Mã hóa file
Công dụng thứ ba của PGP là mã hóa các file. Thuật toán được PGP sử dụng thường là thuật toán RSA. PGP cung cấp một cách mã hóa file an toàn cao, đặc biệt khi được sử dụng cùng với “Threat Detection and Response Solution”. Trên thực tế, thuật toán này an toàn đến mức nó thậm chí còn được sử dụng trong các phần mềm độc hại cao cấp như phần mềm CryptoLocker.
Trở lại năm 2010, Symantec mua lại PGP Corp., công ty nắm giữ quyền đối với hệ thống PGP. Kể từ đó, Symantec đã trở thành nhà cung cấp chính cho phần mềm mã hóa PGP file thông qua các sản phẩm như Symantec Encryption Desktop và Symantec Encryption Desktop Storage. Phần mềm này cung cấp mã hóa PGP cho tất cả các file của bạn, đơn giản hóa sự các quy trình mã hóa và giải mã.
Ưu điểm và nhược điểm của PGP
Ưu điểm của PGP
Ưu điểm chính của mã hóa PGP là không thể phá vỡ. Đó là lý do tại sao nó vẫn được các nhà báo và nhà hoạt động sử dụng và tại sao nó thường được coi là cách tốt nhất để cải thiện bảo mật cloud. Nói tóm lại, về cơ bản không ai có thể xâm nhập hệ thống. Cho dù là hacker hay thậm chí là NSA cũng không thể phá vỡ mã hóa PGP.
Mặc dù đã có một số bài viết chỉ ra các lỗi bảo mật trong một số triển khai PGP, chẳng hạn như lỗ hổng Efail. Nhưng điều quan trọng là phải nhận ra rằng PGP vẫn rất an toàn.
Nhược điểm của PGP
Mấu chốt lớn nhất của mã hóa PGP là nó không thân thiện với user. Điều này đang thay đổi nhờ các giải pháp có sẵn mà PGP sẽ sớm áp dụng. Nhưng việc sử dụng PGP có thể tiết kiệm thời gian và công việc đáng kể cho lịch trình hàng ngày của bạn. Ngoài ra, những người sử dụng hệ thống cần phải biết cách thức hoạt động của nó, phòng trường hợp họ đưa ra các lỗ hổng bảo mật do sử dụng nó không đúng cách. Điều này có nghĩa là các doanh nghiệp đang cân nhắc chuyển sang PGP sẽ cần phải được đào tạo.
Vì lý do đó, nhiều doanh nghiệp có thể muốn xem xét các lựa chọn thay thế. Ví dụ, có những ứng dụng nhắn tin được mã hóa như Signal, cung cấp mã hóa dễ sử dụng hơn. Về mặt lưu trữ data, ẩn danh có thể là một giải pháp thay thế tốt cho mã hóa và có thể là cách sử dụng tài nguyên hiệu quả hơn.
Cuối cùng, bạn nên biết rằng PGP mã hóa tin nhắn của bạn, nhưng nó không làm cho bạn ẩn danh. Không giống như các trình duyệt ẩn danh sử dụng proxy server hoặc làm việc thông qua VPN để ẩn vị trí thực của bạn. Email được gửi qua PGP có thể được truy tìm từ người gửi và người nhận. Các dòng tiêu đề của chúng cũng không được mã hóa, vì vậy bạn không nên đưa bất kỳ thông tin nhạy cảm nào vào đó.
Câu hỏi thường gặp
Mã hóa PGP có an toàn không?
Mã hóa PGP an toàn. Mặc dù PGP hiện đã hơn 20 năm tuổi nhưng không có lỗ hổng nào được tìm thấy trong quá trình triển khai cơ bản của hệ thống. Điều đó nói rằng, việc mã hóa email của bạn là không đủ để bảo mật toàn bộ. Do đó, bạn nên sử dụng PGP kết hợp với bộ cybersecurity đầy đủ bao gồm phần mềm threat detection.
Phần mềm PGP tốt nhất là gì?
Phần mềm PGP “tốt nhất” sẽ tùy thuộc vào nhu cầu của bạn. Hầu hết mọi người không cần mã hóa tất cả email của họ. Vì vậy, đối với hầu hết mọi người, nhà cung cấp email web-based PGP sẽ là giải pháp tốt nhất. Điều đó nói rằng, nếu bạn thường xuyên gửi email cần được mã hóa, bạn có thể xem xét download tiện ích bổ sung PGP cho ứng dụng email của mình.
Có cần thiết sử dụng phần mềm mã hóa không?
– Nếu bạn đang lưu trữ thông tin khách hàng, câu trả lời là có. Mã hóa các file cá nhân của bạn không phải là điều cần thiết, nhưng có thể cải thiện đáng kể khả năng phòng thủ của bạn trước một cuộc cyberattack. Phần mềm mã hóa dựa trên PGP thường là một trong những phần mềm dễ làm việc nhất và là một nơi tốt để bắt đầu khi mã hóa các file của bạn.
– Mã hóa PGP có thể là một công cụ mạnh mẽ trong việc bảo vệ data, quyền riêng tư và bảo mật của bạn. Nó cung cấp cho bạn một phương pháp gửi email tương đối dễ dàng, hoàn toàn an toàn và cũng cho phép bạn xác minh danh tính của những người bạn đang giao tiếp. Vì các tiện ích bổ sung PGP cũng có sẵn cho hầu hết các ứng dụng email chính, nên hình thức mã hóa này thường dễ thực hiện.
– Tất cả những điều này đã nói, việc bảo mật email chỉ là một khía cạnh của an ninh mạng (Cyber Security). Bạn nên đảm bảo rằng, ngoài PGP, bạn cũng sử dụng platform bảo mật data mạnh và phần mềm Data Loss Prevention. Sử dụng càng nhiều công cụ càng tốt là cách tốt nhất để đảm bảo quyền riêng tư và bảo mật của bạn.
Lời kết
Ở trên Vietnix đã giúp bạn hiểu rõ hơn về mã hóa PGP cũng như cách hoạt động của PGP. Hy vọng các kiến thức trên sẽ hữu ích cho bạn. Cảm ơn bạn đã theo dõi bài viết.
