Một số vấn đề về an toàn, bảo mật cho các thiết bị lưu trữ USB (Phần II)
GIẢI PHÁP NÂNG CAO TÍNH AN TOÀN, BẢO MẬT CHO CÁC THIẾT BỊ LƯU TRỮ CHUẨN GIAO TIẾP USB
Thực tế, hầu hết các nhà sản xuất thiết bị USB mã hóa đều chưa thực sự quan tâm đến đối tượng (hệ thống thông tin nói chung hay các máy tính nói riêng) truy cập vào thông tin cần được bảo vệ trên các thiết bị lưu trữ chuẩn USB. Các thiết bị USB mã hóa đơn giản là sự tích hợp của USB thông thường và môi trường mã hóa, có lẽ nên được gọi là USB mã hóa thay vì USB an toàn. Trong bài báo này, nhóm tác giả sẽ đưa ra giải pháp đề xuất dựa trên nền tảng sử dụng công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị lưu trữ có mã hóa chuẩn USB nhằm giải quyết các vấn đề liên quan đến bài toán đảm bảo bảo mật và an toàn cho các thiết bị lưu trữ chuẩn USB.
Nâng cao tính an toàn cho các thiết bị lưu trữ chuẩn giao tiếp USB
Như đã biết ở Phần I, mã hóa là một trong những phương tiện hiệu quả để bảo vệ các phương tiện lưu trữ chuẩn USB làm cho các thiết bị lưu trữ USB trở lên an toàn hơn, nhưng vẫn không hạn chế được các nguy cơ mất an toàn khi sử dụng phương tiện lưu trữ bên ngoài khu vực được cho phép trên các hệ thống thông tin có khả năng lây nhiễm virus, mã độc.
Tất nhiên, không có các giải pháp cụ thể nào có thể giải quyết triệt để vấn đề đảm bảo an toàn, bảo mật cho các thiết bị lưu trữ chuẩn USB đặc biệt trên khía cạnh sử dụng. Tuy nhiên, việc sử dụng kết hợp các thiết bị USB mã hóa với các phương tiện bảo vệ khác, chẳng hạn như hệ thống bảo vệ thông tin chống truy cập trái phép PUAA và hệ thống DLP, có thể mang lại kết quả tích cực.
Như vậy, một giải pháp an toàn, bảo mật tổng thể cho các thiết bị lưu trữ chuẩn USB phải là một hệ thống tổ hợp bao gồm cả phần cứng và phần mềm được thực thi cả trên bản thân các thiết bị lưu trữ và các hệ thống thông tin sử dụng nó (Tổ hợp giải pháp PAMEMS). Người sử dụng chỉ có thể truy cập vào bộ nhớ bên trong của thiết bị lưu trữ an toàn chuẩn USB khi 03 tham số bí mật của giao thức xác thực (PAMS) được đảm bảo gồm:
- Mật khẩu của người sử dụng;
- Thành phần khóa xác thực của các hệ thống thông tin/các máy tính kết nối;
- Thành phần khóa xác thực của bản thân các thiết bị lưu trữ chuẩn USB;
Như vậy, người sử dụng sẽ không thể sử dụng các thiết bị USB mã hóa để sao chép các thông tin không được phép tiết lộ của tổ chức vào các máy tính cá nhân hay các hệ thống thông tin không được phép. Các thiết bị lưu trữ USB an toàn sẽ chỉ hoạt động được trên các máy tính xác định có quyền và các máy tính an toàn cũng sẽ chỉ hoạt động với các thiết bị lưu trữ USB mà nó được chỉ định là an toàn.
Xét về mặt kiến trúc một giải pháp USB an toàn được đề xuất, đề xuất sẽ gồm 03 thành phần: phần mềm bên ngoài chạy trên máy tính (SWPC), module phần cứng lưu trữ an toàn (HWMS) và phần mềm chạy bên trong nó (FWMS).
Phần mềm bên ngoài SWPC hoạt động trên nền tảng vi điều khiển của máy tính, khi phát hiện được các HWMS được kết nối trên cổng USB, sẽ yêu cầu cung cấp mật khẩu người dùng và thực hiện giao thức xác thực PAMS với FWMS bên trong của module phần cứng HWMS. Phần mềm nội bộ SWMS hoạt động trên nền tảng vi điều khiển bên trong các HWMS sẽ đảm bảo việc thực thi giao thức xác thực PAMS từ phía nó. Khi 03 tham số bí mật của giao thức xác thực PAMS là chính xác (mật khẩu người dùng và khóa xác thực của HWMS và máy tính), quyền truy cập vào bộ nhớ bên trong của các HWMS sẽ được thực thi. Việc xác định thực thi hay không thực thi quyền truy cập vào trong bộ nhớ của module phần cứng HWMS là do vi điều khiển bên trong của module HWMS quyết định, không phải do máy tính. Do đó các nỗ lực truy cập trái phép từ phía máy tính không được quản trị viên đăng ký sử dụng HWMS là không thể thực thi.
Trên cơ sở giải pháp đề xuất, dưới đây sẽ là một số yêu cầu cơ sở đối với các thiết bị lưu trữ chuẩn giao tiếp USB an toàn. Cơ sở khoa học để đưa ra các yêu cầu này dựa trên kết quả tổng hợp các đặc tính kỹ thuật của các thiết bị phần cứng và môi trường phần mềm đảm bảo tính an toàn bảo mật cho các thiết bị lưu trữ chuẩn USB đã được thực thi (đảm bảo tính khả thi khi triển khai trong thực tế).
Một số yêu cầu cơ sở đối với các giải pháp thực thi thiết bị lưu trữ chuẩn USB an toàn bảo mật
Các yêu cầu đối với việc thực thi mã hóa:
- Sử dụng cơ chế xác thực đa nhân tố:
+ Người sử dụng, bản thân thiết bị lưu trữ;
+ Người sử dụng, bản thân thiết bị lưu trữ và hệ thống thông tin kết nối;
- Thực thi mã hóa phân vùng bộ nhớ flash trên nền tảng phần cứng;
- Đảm bảo cơ chế bảo vệ an toàn các tham số quan trọng trong phần cứng thiết bị;
Mỗi quốc gia, tổ chức thường có những quy chuẩn kỹ thuật riêng quy định các yêu cầu cần phải đáp ứng đối với các thiết bị lưu trữ về các thuật toán mã hóa, xác thực, đảm bảo chất lượng nguồn ngẫu nhiên riêng… tương ứng với các cấp độ mật khác nhau của thiết bị lưu trữ, có thể tham khảo một số thông tin dưới đây:
- Nguồn ngẫu nhiên tạo mầm khóa sử dụng các bộ sinh số ngẫu nhiên phần cứng HRNG chuẩn ANSI X9.31 hoặc tương đương đối với cấp độ mật, NDRNG HW chuẩn SP 800-90A hoặc tương đương đối với cấp độ tối mật.
- Thuật toán đảm bảo toàn vẹn dữ liệu: tối thiểu CRC16 Checksum đối với cấp độ mật, CRC32 Checksum đối với cấp độ tối mật hoặc tương đương;
- Thuật toán bảo mật dữ liệu: AES khóa 192 bít đối với cấp độ mật và khóa 256 bít đối với cấp độ tối mật hoặc tương đương;
- Thuật toán xác thực dữ liệu: MAC sử dụng TDES cho cấp độ mật và CMAC sử dụng AES cho cấp độ tối mật hoặc tương đương;
Các yêu cầu về nghiệp vụ mật mã:
- Đảm bảo khả năng xác thực, đảm bảo an toàn linh kiện phần cứng và sản phẩm phần cứng chống các tấn công thay thế phần cứng trong quá trình sản xuất (4);
- Đảm bảo an toàn các thành phần phần mềm, phần sụn của giải pháp lưu trữ trong quá trình nạp, thực thi chống sao chép, chỉnh sửa mã nguồn (5);
- Đảm bảo an toàn vật lý chống các tấn công xâm nhập ở trạng thái tĩnh (tấn công nhân bản thiết bị), tấn công không xâm nhập ở trạng thái hoạt động (các kiểu tấn công kênh kề) (6): + Đảm bảo cơ chế tự hủy, chống mở vỏ (6.1);
+ Đảm bảo các tiêu chuẩn an toàn bức xạ điện từ trường (6.2).
- Đảm bảo khả năng phát hiện và cảnh báo virus, mã độc trước lưu trữ theo cấp độ mật (7);
Một số tổ chức khuyến nghị sử dụng chuẩn FIPS 140-2 level 2 cho cấp độ mật, FIPS 140-2 level 3 cho cấp độ tối mật hoặc tương đương.
Các yêu cầu về khả năng thích ứng với môi trường sử dụng và độ bền thiết bị:
- Đảm bảo dải nhiệt hoạt động theo môi trường làm việc (8); - Đảm bảo chống nước, chống bụi và các tác động vật lý cơ bản trong quá trình sử dụng (9); Các yêu cầu về khả năng cấu hình, quản lý, giám sát:
- Đảm bảo khả năng giám sát thông tin lưu trữ (10);
- Đảm bảo khả năng điều chỉnh cấu hình (11);
- Đảm bảo khả năng sao lưu tự động, khôi phục hồi dữ liệu (12); - Đảm bảo chế độ chỉ đọc chống chỉnh sửa (13);
Các yêu cầu về đặc tính lưu trữ, sử dụng:
- Đảm bảo dung lượng lưu trữ; tốc độ đọc/ghi; chuẩn giao tiếp…theo các yêu cầu và ngữ cảnh sử dụng (14);
- Đảm bảo các hướng dẫn chi tiết về quy trình, yêu cầu triển khai, sử dụng hệ thống lưu trữ (bao gồm cả phần cứng và các phần mềm kèm theo) (15).
ĐÁNH GIÁ KHẢ NĂNG ĐÁP ỨNG YÊU CẦU CƠ SỞ ĐỐI VỚI MỘT SỐ GIẢI PHÁP LƯU TRỮ AN TOÀN
Đánh giá khả năng đáp ứng nhóm yêu cầu cơ sở đối với một số thiết bị lưu trữ chuẩn giao tiếp USB mã hóa và giải pháp được thể hiện trong bảng dưới đây. Trong đó: X: Đáp ứng; -: Không đáp ứng; *: Không xác định; VL: dung lượng lưu trữ; RS: Tốc độ đọc; WS: tốc độ ghi; IT: chuẩn giao thức giao tiếp;
PAMEMS là bộ giải pháp kết hợp phần mềm ngăn chặn USB thương mại, giám sát và thiết bị lưu trữ có mã hóa chuyên dụng được phát triển riêng.
KẾT LUẬN
Trong bài báo này, trên cơ sở đánh giá các ưu, nhược điểm của các giải pháp đảm bảo an toàn cho các thiết bị lưu trữ chuẩn USB nhóm tác giả đã đề xuất giải pháp tăng cường tính an toàn, bảo mật trong việc sử dụng các thiết bị USB dựa trên nền tảng sử dụng công nghệ xác thực đa nhân tố giữa phần mềm thực thi độc lập được cài đặt trên máy tính và module phần cứng, phần mềm của thiết bị lưu trữ USB. Giải pháp đã được áp dụng và đánh giá tính năng thực tế trong bộ sản phẩm PAMEMS bao gồm phần mềm ngăn chặn USB thương mại, giám sát USB và thiết bị lưu trữ chuẩn USB có mã hóa được phát triển riêng.
TÀI LIỆU THAM KHẢO 1. S. Kamkar, (2014) “USBdriveby”. [Online]: http://samy.pl/usbdriveby/ 2. Nir Nissim, Ran Yahalom, Yuval Elovici, (2017) “USB-based attacks”. Available: http://dx.doi.org/doi:10.1016/j.cose.2017.08.002 3. Patterson, David A; Hennessy, John L, (2005) “Computer Organization and Design: The Hardware/Software Interface”. Amsterdam: Morgan Kaufmann Publishers. ISBN 1-55860-604-1. OCLC 56213091. 4. TCVN 11295:2016, (2016) “CNTT-Các kỹ thuật an toàn Yêu cầu an toàn cho Mô-đun mật mã”. |
Trần Văn Khánh, Nguyễn Thành Vinh, Đào Thành Long