Hội thảo RSA 2008 tại Mỹ
Hội thảo thu hút sự quan tâm của nhiều cơ quan chính phủ Mỹ như cơ quan An ninh Nội địa (Homeland Security Agency), cơ quan An ninh Quốc gia (National Security Agency), cơ quan Điều tra Liên bang FBI, và nhiều thành viên chính phủ khác. Đặc biệt, cựu Phó Tổng thống Mỹ Al Gore cũng có bài phát biểu bế mạc quan trọng tại Hội thảo.
Nhiều công ty lớn trong lĩnh vực công nghiệp công nghệ thông tin và truyền thông nói chung và công nghiệp ATTT nói riêng như Microsoft, RSA, EMC Security Division, CA, VeriSign, Symantec, TippingPoint, Oracle, IBM, Novell, Sun MicroSystems, CISCO, Unisys, Open Source Identity Systems (OSIS)… đã tham dự Hội thảo bằng các bài phát biểu ở tầm chiến lược cũng như chia sẻ kinh nghiệm thực tiễn và tổ chức triển lãm các giải pháp. Các cơ quan chính phủ ở một số tiểu bang, cơ quan liên bang, các tổ chức tài chính, các công ty cung cấp dịch vụ ATTT… tham dự Hội thảo để chia sẻ những kinh nghiệm thực tiễn trong triển khai đảm bảo ATTT. Đặc biệt, Hội thảo tổ chức diễn đàn riêng cho những nghiên cứu về mật mã và tấn công thám mã. Hội thảo RSA lần này đã bổ sung thêm một chương trình mới, đó là những phát hiện trong quá trình nghiên cứu, phân tích nguy cơ, hiểm họa ATTT. Diễn đàn này sẽ được tiếp tục duy trì trong những kỳ hội thảo sau.
Tại Hội thảo này, các chuyên gia ATTT có thể nắm bắt xu hướng phát triển của công nghệ cũng như những kinh nghiệm thực tế trong triển khai đảm bảo ATTT. Hội thảo cũng tiếp tục thảo luận những vấn đề hết sức quan trọng về ATTT đối với mọi tổ chức, ở các quy mô khác nhau cũng như các cơ quan của Chính phủ. Nhiều vấn đề về luật pháp, hành pháp cũng như những thông tin về công cụ hỗ trợ quá trình điều tra tội phạm công nghệ cao, tội phạm ATTT cũng được phân tích tại Hội thảo. Mục đích của các nhà tổ chức là xây dựng Hội thảo thành nhịp cầu kết nối, diễn đàn trao đổi về các vấn đề bảo mật và ATTT giữa các chuyên gia ATTT trên phạm vi toàn cầu.
Hội thảo RSA 2008 tại Mỹ gồm 19 diễn đàn với khoảng 250 bài phát biểu, trình diễn. Các chủ đề được đề cập thuộc nhiều lĩnh vực từ nghiên cứu cơ bản đến nghiên cứu ứng dụng công nghệ, lập pháp, hành pháp và kinh nghiệm thực tiễn của các khách hàng ATTT trong cả khối doanh nghiệp và khối cơ quan chính phủ. Các diễn đàn tại Hội thảo bao gồm nhiều lĩnh vực như: Chính sách của Chính phủ; Xu hướng phát triển và tác động kinh doanh; Ứng dụng giải pháp ATTT (gồm các CASE); Xác thực thực thể; Nhận dạng và quản lý truy nhập; Mật mã và thám mã; Bảo vệ khách hàng; Phát triển và ATTT; Chiến lược triển khai ATTT; Phòng vệ cho doanh nghiệp; Tin tặc và hiểm họa; Chuyên gia công nghệ; Pháp luật và pháp lý; Phát triển nghề nghiệp; Những khám phá mới trong nghiên cứu; Kiến trúc hướng ANTT; Các tiêu chuẩn; Liên lạc không dây…
Các chuyên đề thuộc diễn đàn hội thảo Ứng dụng giải pháp ATTT trình bày việc ứng dụng các công nghệ ATTT mới nhất để giải quyết những vấn đề gặp phải trong thực tiễn hoạt động, những kinh nghiệm triển khai các sản phẩm, giải pháp cụ thể ở một số tổ chức của Chính phủ và doanh nghiệp.
Các bài phát biểu trong diễn đàn hội thảo Xác thực thực thể phân tích việc đảm bảo độ tin cậy của nguồn thông tin ở mức ứng dụng. Các vấn đề Xác thực trong Thế giới di động với khả năng ứng dụng thẻ thông minh, sinh trắc học ứng dụng trong xác thực, tiêu chuẩn hóa việc xác thực trong thế giới mở: Kiến trúc tham chiếu OATH (liên tưởng tới kiến trúc tham chiếu OSI và sự thành công của Internet); Chuyển đổi mô hình thông tin định dạng được cung cấp sang mô hình định dạng lấy người dùng làm trung tâm của thế giới mã nguồn mở; xác thực đa lớp để đảm bảo yêu cầu chống Phishing (giả mạo dịch vụ) hay gian lận định dạng trong các giao dịch giữa doanh nghiệp và khách hàng …
Diễn đàn hội thảo Bảo vệ khách hàng đặt vấn đề cần giải quyết những thách thức trong công nghệ ATTT, vấn đề pháp lý liên quan đến ATTT để bảo vệ tài khoản, các giao dịch, các quyền lợi cũng như danh tính của khách hàng sử dụng dịch vụ mới trong môi trường thương mại điện tử có tính toàn cầu.
Diễn đàn Mật mã và Mã thám tại Hội thảo RSA 2008 lần này có 25 bài trình bày nghiên cứu mới nhất về mật mã và thám mã:
- Nghiên cứu cơ sở lập mã có các bài của A.Lindell (Đại học Bar-Ilan, Israel), E.Bresson (DCSSI Crypto Lab).
- Lĩnh vực tính toán an toàn có các bài nghiên cứu về tính toán an toàn 2 bên và nhiều bên của A.Lindell, B.Schoenmakers (Àaåi hoåc Cöng nghïå Eindhoven), vaâ Q.Huang (Àaåi hoåc HongKong).
- Lĩnh vực Mã xác thực thông điệp (MAC) có các nghiên cứu chứng minh độ mật của NMAC và HMAC và một phương pháp đơn giản để kết hợp nhiều MAC thành một cơ cấu thống nhất
- Hai mô hình trao đổi khóa mới được trình bày lần này là Giao thức trao đổi khóa trên cơ sở mật khẩu 2 bên và Trao đổi khóa giấu danh tính (bắt tay bí mật) cho phép 2 bên được chứng thực bởi cùng một tổ chức có thể trao đổi khóa một cách hiệu quả.
- Cài đặt AES cũng có những tiến bộ mới trong áp dụng trên kiến trúc vi xử lý 8 bit. Phương pháp bit-slice trong cài đặt AES có thể chống tấn công kênh phụ lợi dụng đặc tính của bộ đệm (cache-based side-channel).
- Phương pháp tấn công kênh phụ (side-channel) như phân tích trường điện từ, phân tích điểm yếu, tấn công vi kiến trúc,… có thêm những kết quả mới. Tính thiếu an toàn của thuật toán RSA trước hiểm họa do phân tích bộ đệm chỉ lệnh được minh họa trên hệ thống OpenSSL. Tấn công phân tích điểm yếu được nghiên cứu trên IDEA. Tính nhạy cảm của các thiết bị vô tuyến RFID trước tấn công phân tích điện từ cũng được trình bày.
- Nghiên cứu tấn công Hàm Hash có các bài của Yu Sasaki (NTT Corporation), P.Gauravaram (Đại học DTU), G.Leurent (Đại học ENS, Pháp).
- Những kết quả tấn công mới đối với mã khối trên cơ sở phương pháp tấn công lượng sai và sử dụng kỹ thuật sàng Lattice để tấn công biến thể của RSA cũng được trình bày tại Hội thảo.
- Giáo sư S. Goldwasser, Đại học MIT, mang tới Hội thảo bài nghiên cứu khá hấp dẫn về biện pháp che giấu mã chương trình nhằm ngăn chặn những ai muốn tìm hiểu về bản thân chương trình- kể cả khi xem xét mã nhưng không ảnh hưởng đến đầu vào, đầu ra của chương trình. Trình bày của S.Goldwasser được tổ chức thành một phiên hội thảo riêng với khá nhiều mô hình và các áp dụng khác nhau của kỹ thuật này.
Nhận xét về chất lượng các bài nghiên cứu được trình bày tại Diễn đàn này, Jeff Jones (Microsoft Trustworthy Computing) cho rằng các nghiên cứu được trình bày năm nay có sức hấp dẫn rõ rệt. Diễn đàn Mật mã và thám mã tiếp tục cảnh báo các nhà ứng dụng cần hết sức thận trọng trước những sự kiện tưởng như không thể xảy ra và cần cảnh giác trước cả những tấn công có tỷ lệ thành công rất nhỏ.
Hai diễn đàn hội thảo về “Chiến lược triển khai ATTT” và “Phát triển và ATTT” có các bài trình bày tập trung vào các vấn đề từ bảo vệ an toàn dữ liệu, những hiểm họa khi chuyển đổi máy ảo (VM), tính khả dụng của ATTT, phân loại thông tin và quản lý quyền, quản lý khóa... đến ứng dụng những công nghệ hiện có để xây dựng các tính năng ATTT trong ứng dụng hoàn chỉnh.
Các vấn đề về đảm bảo ATTT cho doanh nghiệp được trình bày trong diễn đàn hội thảo Phòng vệ cho doanh nghiệp bao gồm nhận diện các kỹ thuật tấn công nguy hiểm, quản lý rủi ro, phòng chống tấn công từ bên trong, kiểm soát truy cập mạng, bảo vệ dữ liệu trong triển khai các ứng dụng kết nối từ xa, kết nối liên mạng.
Diễn đàn Tin tặc và hiểm họa được tổ chức thành 2 diễn đàn hội thảo, giúp cho các chuyên gia ATTT tìm hiểu sâu hơn các kỹ thuật tấn công, thu thập và phân tích dữ liệu mạng, các công nghệ phòng chống hiểm họa... Diễn đàn này tìm hiểu các giải pháp tìm kiếm các chương trình ác ý, các lỗ hổng ATTT tồn tại trên hệ thống, phân tích bản chất của Storm Worm, hay tìm hiểu cấu trúc cơ bản của các Rootkits ngụy trang cho các chương trình ác ý (virus, worm, trojan...), kinh nghiệm tìm kiếm, phát hiện các tấn công đối với hệ thống dịch vụ trực tuyến của mỗi tổ chức.
- Hai mĩ hnh trao đổi khỉa mới được trnh bđy lần nđy lđ Giao thức trao đổi khỉa trân cơ sở mật khẩu 2 bân vđ Trao đổi khỉa giấu danh tnh (bắt tay b mật) cho php 2 bân được chứng thực bởi căng một tổ chức cỉ thể trao đổi khỉa một cch hiệu quả.
- Cđi đặt AES cũng cỉ những tiến bộ mới trong p dụng trân kiến trơc vi xử lý 8 bit. Phương php bit-slice trong cđi đặt AES cỉ thể chống tấn cĩng kânh phụ lợi dụng đặc tnh của bộ đệm (cache-based side-channel).
- Phương pháp tấn công kênh phụ (side-channel) như phân tích trường điện từ, phân tích điểm yếu, tấn công vi kiến trúc,… có thêm những kết quả mới. Tính thiếu an toàn của thuật toán RSA trước hiểm họa do phân tích bộ đệm chỉ lệnh được minh họa trên hệ thống OpenSSL. Tấn công phân tích điểm yếu được nghiên cứu trên IDEA. Tính nhạy cảm của các thiết bị vô tuyến RFID trước tấn công phân tích điện từ cũng được trình bày.
- Nghiên cứu tấn công Hàm Hash có các bài của Yu Sasaki (NTT Corporation), P.Gauravaram (Đại học DTU), G.Leurent (Đại học ENS, Pháp).
- Những kết quả tấn công mới đối với mã khối trên cơ sở phương pháp tấn công lượng sai và sử dụng kỹ thuật sàng Lattice để tấn công biến thể của RSA cũng được trình bày tại Hội thảo.
- Giáo sư S. Goldwasser, Đại học MIT, mang tới Hội thảo bài nghiên cứu khá hấp dẫn về biện pháp che giấu mã chương trình nhằm ngăn chặn những ai muốn tìm hiểu về bản thân chương trình- kể cả khi xem xét mã nhưng không ảnh hưởng đến đầu vào, đầu ra của chương trình. Trình bày của S.Goldwasser được tổ chức thành một phiên hội thảo riêng với khá nhiều mô hình và các áp dụng khác nhau của kỹ thuật này.
Nhận xét về chất lượng các bài nghiên cứu được trình bày tại Diễn đàn này, Jeff Jones (Microsoft Trustworthy Computing) cho rằng các nghiên cứu được trình bày năm nay có sức hấp dẫn rõ rệt. Diễn đàn Mật mã và thám mã tiếp tục cảnh báo các nhà ứng dụng cần hết sức thận trọng trước những sự kiện tưởng như không thể xảy ra và cần cảnh giác trước cả những tấn công có tỷ lệ thành công rất nhỏ.
Hai diễn đàn hội thảo về “Chiến lược triển khai ATTT” và “Phát triển và ATTT” có các bài trình bày tập trung vào các vấn đề từ bảo vệ an toàn dữ liệu, những hiểm họa khi chuyển đổi máy ảo (VM), tính khả dụng của ATTT, phân loại thông tin và quản lý quyền, quản lý khóa... đến ứng dụng những công nghệ hiện có để xây dựng các tính năng ATTT trong ứng dụng hoàn chỉnh.
Các vấn đề về đảm bảo ATTT cho doanh nghiệp được trình bày trong diễn đàn hội thảo Phòng vệ cho doanh nghiệp bao gồm nhận diện các kỹ thuật tấn công nguy hiểm, quản lý rủi ro, phòng chống tấn công từ bên trong, kiểm soát truy cập mạng, bảo vệ dữ liệu trong triển khai các ứng dụng kết nối từ xa, kết nối liên mạng.
Diễn đàn Tin tặc và hiểm họa được tổ chức thành 2 diễn đàn hội thảo, giúp cho các chuyên gia ATTT tìm hiểu sâu hơn các kỹ thuật tấn công, thu thập và phân tích dữ liệu mạng, các công nghệ phòng chống hiểm họa... Diễn đàn này tìm hiểu các giải pháp tìm kiếm các chương trình ác ý, các lỗ hổng ATTT tồn tại trên hệ thống, phân tích bản chất của Storm Worm, hay tìm hiểu cấu trúc cơ bản của các Rootkits ngụy trang cho các chương trình ác ý (virus, worm, trojan...), kinh nghiệm tìm kiếm, phát hiện các tấn công đối với hệ thống dịch vụ trực tuyến của mỗi tổ chức.
Diễn đàn Nhận dạng và quản lý truy nhập xác định quản lý truy nhập là mắt xích có tính quyết định đến mức độ ATTT của toàn hệ thống. Các bài trình bày tại diễn đàn này phổ biến những kinh nghiệm, kiến thức trong xây dựng chiến lược xác định các thông số nhận dạng người dùng và quản trị truy cập hệ thống bằng các công nghệ, các giao thức đảm bảo ATTT.
Các diễn đàn Chuyên gia công nghệ, Pháp luật và pháp lý, Phát triển nghề nghiệp, Chính sách của Chính phủ cho thấy vai trò quan trọng của các cơ quan lập pháp, hành pháp tác động đến ATTT cả ở khu vực tư nhân và Chính phủ. Những vấn đề từ thiết chế pháp luật đến đảm bảo tuân thủ các qui định của pháp luật trong xây dựng và triển khai các hệ thống ATTT được các chuyên gia về pháp lý trình bày tại các diễn đàn này thông qua những kinh nghiệm thực tế. Những kiến thức này có thể hỗ trợ đắc lực cho các chuyên gia kỹ thuật trong trao đổi, thuyết phục các cấp lãnh đạo về sự cần thiết của ATTT cũng như đảm bảo tính hợp lý của các mô hình ATTT dự định triển khai áp dụng.
Diễn đàn Những khám phá mới trong nghiên cứu, trình bày những vấn đề ATTT trong môi trường ảo, phương pháp tự động phân loại các chương trình Malware, ứng dụng kỹ thuật virus điện tử để phát hiện những khiếm khuyết trong thiết kế chương trình, sử dụng công nghệ AOP (Aspect – Oriented Programming) để đảm bảo an toàn cho các ứng dụng như XSS, SQL... Trong cuộc chiến chống lại các hacker, chiến thuật tấn công để phòng ngự được đề xuất. Việc phòng ngự không chỉ dừng lại ở khía cạnh phân tích những Malware để tìm biện pháp hạn chế tác động tiêu cực của chúng mà còn phải tiến tới phân tích chiến thuật, phương thức kiểm soát từ xa các hệ thống bị xâm nhập của các hacker, từ đó có những biện pháp đầy đủ hơn để đối phó. Đây là lần đầu tiên diễn đàn này được tổ chức và sẽ được duy trì trong nội dung của các kỳ
hội thảo tới.
Diễn đàn Kiến trúc hướng ATTT kỳ này trình bày những tiến triển hướng tới ATTT cho kiến trúc dịch vụ B2B, thương mại điện tử và hợp tác trực tuyến nhằm đáp ứng yêu cầu của khách hàng đang thay đổi nhanh chóng.
Vấn đề chuẩn hóa, tìm tiếng nói chung trong lĩnh vực ATTT ở từng quốc gia, giữa các quốc gia thực sự được quan tâm phát triển trong vài năm gần đây. Diễn đàn Các tiêu chuẩn tại Hội thảo RSA 2008 trình bày những cập nhật mới nhất cho các tiêu chuẩn như NAC (Kiểm soát truy nhập mạng), PCI DSS (Tiêu chuẩn an toàn dữ liệu trong công nghiệp thanh toán bằng thẻ). Những thông tin phát triển của tiêu chuẩn về mô-đun mật mã (FIPS 140-3) cũng được công bố. Tiêu chuẩn kiểm soát truy nhập trong ngôn ngữ web XML (XACML) đã phát triển từ phiên bản 2.0 sang 3.0. XACML không chỉ là tiêu chuẩn của OASIS mà còn là khuyến nghị của ITU-T.
ATTT trong thế giới liên lạc không dây ngày càng được quan tâm cùng với sự phát triển mạnh mẽ của thị trường liên lạc không dây. Diễn đàn Liên lạc không dây cho thấy chuẩn IEEE 802.11n với tốc độ truyền thông 100 Mbps sẽ được triển khai ở nhiều cơ quan trong khi còn rất nhiều việc phải làm để đảm bảo ATTT trong môi trường không dây tốc độ cao. Tương tự mối quan tâm của các nhà tổ chức trước hiểm họa mất an toàn khi sử dụng thiết bị không dây cũng được đề cập đến.
Hệ thống các hội thảo RSA không phụ thuộc về tài chính vào các nhà cung cấp sản phẩm, dịch vụ. Các diễn đàn của Hội thảo là cơ hội để được bày tỏ và lắng nghe những ý kiến của các chuyên gia hàng đầu trong lĩnh vực ATTT từ nghiên cứu cơ bản đến triển khai ứng dụng.
Bên cạnh các diễn đàn của Hội thảo, các đơn vị hoạt động trong lĩnh vực ATTT đã tổ chức triển lãm nhiều sản phẩm, giải pháp tiên tiến đang từng bước biến các chức năng ATTT trở thành một bộ phận không thể thiếu được trong cơ sở hạ tầng kỹ thuật của các tổ chức kinh tế, chính trị xã hội và rộng hơn là của quốc gia và trên phạm vi toàn cầu. Hơn 350 doanh nghiệp tham gia triển lãm có cơ hội tiếp xúc và tìm hiểu nhu cầu của người sử dụng, qua đó, đưa ra giải pháp và thiết bị nhằm đáp ứng nhu cầu của họ.
Mỗi kỳ tổ chức hội thảo, các cá nhân có đóng góp nổi bật cho sự phát triển của ATTT đều được bầu chọn để nhận giải thưởng. Năm nay, giáo sư Arjen Lenstra đã được bầu chọn nhận giải thưởng trong lĩnh vực toán học vì những đóng góp của ông trong thiết kế và triển khai các kỹ thuật phân tích số lớn, đặc biệt là kỹ thuật Sàng trường số (NFS). Kết quả phân tích số mô-đun RSA-155 (512 bit) của ông là một đóng góp cho việc lựa chọn và chuẩn hóa độ dài khóa an toàn cho RSA.
Hội thảo RSA 2008 tại Mỹ đã thành công trong vai trò nhịp cầu kết nối, duy trì liên lạc, cập nhật thông tin của các chuyên gia ANTT toàn cầu. Dự kiến Hội thảo RSA tiếp theo sẽ được tổ chức ở London, Anh từ ngày 27 đến 29/10/2008.