Tiêu chuẩn kỹ thuật về ƯDCNTT trong CQNN: Tiêu chuẩn S/MIME – Tiêu chuẩn an toàn mở rộng thư Internet đa mục đích (22) 

Tổng quan về S/MIME

Tiêu chuẩn Secure/Multipurpose Internet Mail Extensions (S/MIME) - Tiêu chuẩn an toàn mở rộng thư Internet đa mục đích cung cấp một phương thức gửi/nhận thông điệp thư Internet đa mục đích một cách an toàn do Nhóm chuyên trách kỹ thuật Internet (Internet Engineering Task Force - IETF) phát hành dưới dạng RFC (RFC - Request for Comments, là những tài liệu kỹ thuật và tổ chức về Internet, bao gồm những tài liệu đặc tả kỹ thuật và chính sách được tổ chức IETF phát hành). S/MIME là một tiêu chuẩn cho mã hóa khóa công khai (tham khảo trong Giải thuật mã hóa công khai RSA) và ký dữ liệu mở rộng thư Internet đa mục đích MIME.
Trước khi công bố tiêu chuẩn S/MIME, các nhà quản trị chỉ sử dụng Giao thức truyền thư đơn giản SMTP được chấp nhận rộng rãi, tuy nhiên, giao thức này không đảm bảo an toàn hoặc có đảm bảo an toàn nhưng phải sử dụng các giải pháp mang tính độc quyền. Do đó, các nhà quản trị lựa chọn một giải pháp nhằm tăng cường tính an toàn và đảm bảo kết nối, S/MIME ra đời đã hỗ trợ giao thức SMTP chuyển sang một cấp độ tiếp theo là cho phép kết nối thư điện tử phổ biến rộng rãi mà vẫn đảm bảo an toàn.
Các phiên bản S/MIME gồm:
- Phiên bản đầu tiên của S/MIME được các nhà cung cấp về an toàn bảo mật phát triển năm 1995, tuy nhiên phiên bản này không được công bố chính thức.
- Phiên bản thứ hai là S/MIME v2 được IETF chính thức công bố vào tháng 3/1998 là một tiêu chuẩn Internet tại RFC 2311 (Đặc tả kỹ thuật thông điệp S/MIME phiên bản 2) vàRFC 2312 (Xử lý chứng thư S/MIME phiên bản 2). Các RFC này đưa ra một khung dựa trên tiêu chuẩn Internet mà các nhà cung cấp có thể tuân theo khi cung cấp các giải pháp an toàn thông điệp có khả năng tương tác. Kể từ đó, S/MIME đã trở thành một trong những tiêu chuẩn hàng đầu về bảo mật thông điệp.
- Phiên bản thứ ba là S/MIME v3 được IETF đề xuất vào tháng 6/1999 nhằm tăng cường khả năng của S/MIME, bao gồm RFC 2632 (Xử lý chứng thư S/MIME phiên bản 3), RFC 2633 (Đặc tả kỹ thuật thông điệp S/MIME phiên bản 3) và RFC 2634 (Các dịch vụ an toàn mở rộng cho S/MIME). Sau đó RFC 2633 đã được cập nhật thành RFC 3851 (Đặc tả kỹ thuật thông điệp S/MIME phiên bản 3.1) vào tháng 6/2004 và được cập nhật mới đây nhất tại RFC 5751 (Đặc tả kỹ thuật thông điệp S/MIME phiên bản 3.2) vào tháng 1/2010.

 

Đặc điểm kỹ thuật
 
S/MIME là một tập các đặc tả kỹ thuật để đảm bảo cho thư điện tử. S/MIME dựa trên tiêu chuẩn MIME đã được sử dụng rộng rãi và mô tả một giao thức với các dịch vụ an toàn thông qua việc ký số và mã hóa các đối tượng kiểu MIME. Các dịch vụ bảo mật cơ bản được cung cấp bởi S/MIME là xác thực, chống chối bỏ, toàn vẹn và riêng tư của thông điệp. Các dịch vụ an toàn mở rộng bao gồm dịch vụ nhận đã ký số, nhãn an toàn, danh sách thư an toàn và một phương thức xác định chứng thư số của người ký.

 

Định dạng thông điệp S/MIME
 
Thông điệp S/MIME là sự kết hợp của nội dung kiểu MIME và cú pháp thông điệp mật mã (Cryptographic Message Syntax – CMS). Đây là cú pháp được sử dụng để ký số, phân loại, xác thực hay mã hóa nội dung thông điệp tùy ý. Dữ liệu phải được bảo đảm luôn luôn là một thực thể kiểu MIME (bao gồm các thông tin như văn bản thông thường (ngoại trừ văn bản sử dụng bộ kí tự ASCII), các nội dung dạng 8-bít như hình ảnh, âm thanh, video và các chương trình máy tính). Thực thể kiểu MIME và các dữ liệu khác, chẳng hạn như chứng thư số hay và định danh thuật toán, được xử lý để tạo ra một đối tượng CMS. Đối tượng CMS thường được mã hóa sử dụng base64 (một thuật ngữ chỉ một số cơ chế mã hóa tương tự dùng để mã hóa dữ liệu bằng cách xử lý số và biên dịch nó thành dạng 64 ký tự trong bảng mã ASCII) với kiểu nội dung (content-type) application/pkcs7-mime bao gồm 6 kiểu nội dung như sau: “data”, “signedData”, “envelopedData”, 
“signedAndEnvelopedData”, “digestedData” và “encryptedData”. Bên nhận phải hỗ trợ kiểu “data”, “signedData” và “envelopedData”, bên gửi có thể gửi hoặc không gửi bất kỳ kiểu nội dung nào, phụ thuộc vào dịch vụ của bên gửi. Phần mở rộng tệp tin cho kiểu nội dung này có dạng “.p7s”. Tham số bổ sung “smime-type” chỉ ra thông điệp được mã hóa hay được ký số. Nếu thông điệp chứa một thành phần bản rõ (clear-text) thì thành phần này cùng với đối tượng CMS được kết hợp với nhau thành nội dung đã ký/đa phần (multipart/signed) và đối tượng CMS là thuộc kiểu nội dung application/pkcs7-signature. Cuối cùng, đối tượng CMS được gói trong định dạng kiểu MIME.  Ngoài ra, S/MIME cũng cung cấp định dạng chỉ cho việc gói (enveloped) dữ liệu và một số định dạng khác chỉ thực hiện việc ký dữ liệu, một số định dạng đồng thời thực hiện ký và gói dữ liệu.

 

Thông điệp ký số và mã hóa kiểu S/MIME
 
Đầu tiên, thông điệp sẽ được ký số và sau đó mã hóa. Ký số là dịch vụ thường được sử dụng của S/MIME, trong đó chữ ký số là bản đối chiếu đến chữ ký pháp lý, truyền thống trên một tài liệu giấy, nó cung cấp khả năng bảo mật như tính xác thực, tính chống chối bỏ, tính toàn vẹn. Với việc được mã hóa, thông điệp không thể được đọc bởi bất kỳ người nào không được phép. Mặc dù mã hóa thông điệp không được sử dụng rộng rãi như chữ ký số nhưng nó giải quyết được các vấn đề mà nhiều người cho là điểm yếu nghiêm trọng trong thư điện tử Internet: tính bảo mật và tính toàn vẹn dữ liệu. Các thông điệp đã được ký số và sau đó mã hóa vẫn có thể được thay thế bằng một thông điệp chỉ được mã hóa.
Việc ký và sau đó mã hóa thông điệp là phương pháp phổ biến trong việc ký và mã hóa các thông điệp nhưng vẫn còn có nhiều phương pháp khác. Thông điệp chỉ ký số cũng như thông điệp chỉ mã hóa đều là các thực thể kiểu MIME và do đó chúng có thể được ký số hoặc mã hóa thêm một lần nữa. Điều này có thể thực hiện trên máy khách thư (mail client) hoặc nếu máy khách thư có khả năng linh hoạt thì người sử dụng có thể quyết định xem có nên mã hóa trước khi ký số hoặc ký số trước khi mã hóa thông điệp.

 

Các dịch vụ an toàn mở rộng (Enhanced Security Services - ESS)
 
Có một vài mở rộng dịch vụ an toàn tùy chọn cho S/MIME quy định tại RFC 2634 và  RFC 5035.
- Việc nhận có ký số: Thiết lập cờ (flag) đặc biệt cho các thông điệp ký số để yêu cầu xác nhận việc nhận thông điệp đã ký số. Việc này chứng minh rằng thông điệp đã được nhận bởi người nhận được phép và xác minh chính xác chữ ký số. Việc nhận có ký số được tạo ra bằng cách ký thông điệp gốc hoàn chỉnh (bao gồm cả chữ ký ban đầu).
- Nhãn an toàn: Thuộc tính nhãn an toàn trong một thông điệp đã ký xác định phân loại mức độ an toàn của các nội dung đã ký số. Chúng có thể dựa vào những khuyến nghị như đánh dấu, phân loại, ràng buộc, mật, bí mật, tuyệt mật hoặc dựa vào chính sách bảo mật riêng của một tổ chức. Từ đó, máy khách thư có thể quyết định có hay không hiển thị các nội dung của thông điệp cho người dùng.
- Quản lý danh sách thư: Khi gửi thông điệp mã hóa cho một số lượng lớn người nhận, máy khách sẽ phải mã hóa các khóa của từng phiên sử dụng khóa công khai của người nhận. Với phần mở rộng quản lý danh sách thư, người dùng sẽ chỉ mã hóa thông điệp một lần duy nhất sử dụng khóa công khai của máy khách thư chứa toàn bộ danh sách gửi thư. Danh sách gửi thư sau đó sẽ được mã hóa và chuyển tiếp thông điệp cho mỗi người nhận.
Quản lý danh sách thư S/MIME cũng có một số thuộc tính mở rộng để ngăn chặn các vòng lặp giữa danh sách gửi thư.

 

Ứng dụng
 
Dựa trên tiêu chuẩn Mở rộng thư Internet đa mục đích MIME, S/MIME cung cấp các dịch vụ an toàn cho các ứng dụng truyền thông điệp điện tử như: xác thực, toàn vẹn, chống chối bỏ (sử dụng chữ ký số) và tính riêng tư, bảo mật của dữ liệu (sử dụng mã hóa). S/MIME có thể được sử dụng bởi người dùng thư điện tử truyền thống để bổ sung các dịch vụ an toàn mật mã cho các thư được gửi và thông dịch các dịch vụ an toàn trong thư nhận được. Tuy nhiên, S/MIME không bị giới hạn với thư điện tử, nó có thể được sử dụng với các cơ chế chuyển vận dữ liệu kiểu MIME khác, chẳng hạn như giao thức truyền siêu văn bản HTTP. Trong Thông tư số 01/2011/TT-BTTTT ngày 04/01/2011 của Bộ Thông tin và Truyền thông Công bố Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước quy định Bắt buộc áp dụng tiêu chuẩn S/MIME v3.2 và được xếp vào nhóm Tiêu chuẩn về an toàn thông tin.
965 Go top

Sự kiện nổi bật

Ý kiến về Trang thông tin điện tử Cục Tin học hóa?
1. Đạt yêu cầu, 1180 phiếu (88 %)
2. Chưa đạt yêu cầu, 107 phiếu (8 %)
3. Cần thêm chủ đề, 57 phiếu (4 %)
Tổng số phiếu: 1344
THÔNG KÊ TRUY CẬP
  • Người trực tuyến Người trực tuyến
    • Khách Khách 35
    • Thành viên Thành viên 0
    • Tổng Tổng 35
    • Tổng lượt truy cập: Tổng lượt truy cập: 11278890