Công nghệ được phê chuẩn có tên là DomainKeys Identified Mail và đang được kỳ vọng sẽ giúp người dùng Internet ngăn chặn hữu hiệu dòng lũ thư điện tử lừa đảo đang ngày một gia tăng.
Yahoo, Cisco Systems, Sendmail và PGP Corporation là những tập đoàn ủng hộ việc xúc tiến công nghệ Nhận diện Thư DomainKeys. Công nghệ này được quảng cáo là "sẽ giúp bảo vệ tốt hơn thương hiệu của các doanh nghiệp bằng cách đưa ra sự xác thực, xác minh và khả năng theo dõi các bức thư điện tử nhằm xác định xem liệu bức thư có phải là hợp pháp hay không".
Bản dự thảo tiêu chuẩn mà IETF vừa phê chuẩn tỏ ra có nhiều triển vọng hơn so với hầu hết các công nghệ chống lừa đảo và thư rác khác bởi nó khai thác được khả năng của các chữ ký bảo mật kỹ thuật số được mã hóa để ngăn ngừa những kẻ lừa đảo trực tuyến.
Nguyên lý hoạt động của công nghệ này hết sức đơn giản: Nếu PayPal gửi một bức thư tới các khách hàng để lưu ý về các tài khoản của họ, máy chủ gửi thư đi của hãng này sẽ lặng lẽ chèn vào một chữ ký số vào bức thư hợp pháp. (Do chữ ký này được nhúng vào trong phần header của bức thư, người dùng sẽ không thể đọc được nó).
Giả sử nếu người nhận bức thư này có một địa chỉ thư điện tử Yahoo Mail, các máy chủ thư của Yahoo có thể tự động kiểm tra tên miền Internet của PayPal được liệt kê để xác minh rằng chữ ký nhúng trong thư là hợp lệ và bức thư đó đúng là được gửi đi từ PayPal.com. Các chữ ký của các hãng thứ ba được ủy quyền cũng được chấp nhận, vốn rất hữu ích đối với các bức thư từ các nguồn bên ngoài.
Nếu chữ ký trong thư không được xác nhận, rất có thể bức thư đó là thư rác, hoặc một vụ tấn công lừa đảo được thiết kế để lừa người dùng tiết lộ các thông tin về tài khoản PayPal của họ. Mặc dù dự thảo tiêu chuẩn DomainKeys không đánh dấu các bức thư với các chữ ký không hợp lệ là thư rác, nhưng các hãng cung cấp dịch vụ Internet sẽ thực hiện việc này.
Toàn bộ những bước nói trên thể hiện một nỗ lực muộn màng nhằm khắc phục một vấn đề cơ bản với dịch vụ thư điện tử Internet: nó được thiết kế ra trong một giai đoạn "hiền lành" hơn nhiều và được tích hợp rất ít các công cụ bảo mật.
DomainKeys tỏ ra có nhiều triển vọng hơn các công nghệ chống lừa đảo phishing và thư rác hiện có, vốn chỉ phụ thuộc vào các kỹ thuật như kết hợp một "danh sách đen" những kẻ lừa đảo hoặc phát hiện những bức thư giả mạo bằng cách tìm cách nhận diện những đặc điểm phổ biến.
Nhưng những kẻ gửi thư rác ngày càng phát minh ra nhiều kiểu phản công sáng tạo, thí dụ như chèn các quảng cáo hình ảnh vào trong nội dung các bức thư và gắn vào các đoạn trích từ các bài báo nhằm chống lại phương pháp chống thư rác rất nổi tiếng là lọc Bayseian. Kiểu phản công đó được gọi là đầu độc Bayseian.
DomainKeys thể hiện một sự thay đổi triệt để trong cuộc chạy đua vũ trang giữa những kẻ lừa đảo và người dùng Internet: đó thực sự là một cuộc tấn công hạt nhân chiến thuật không thể đánh trả được. Các chữ ký điện tử, sử dụng thuật mã hóa khóa công cộng, được xem như không thể làm giả được.
Nhưng phương pháp DomainKey đang phải gặp một vấn đề nghiêm trọng, ngắn hạn: nó chỉ hiệu quả nếu hệ thống thư điện tử của cả người gửi và người nhận đều được nâng cấp để hỗ trợ tiêu chuẩn này.
Đồng thời, nó cũng không thực hiện việc đánh dấu các bức thư rác được gửi tới từ một công ty hợp pháp, hoặc không thể nhận diện các bức thư rác được gửi từ một tên miền với một bản ghi DomainKeys thực. Tuy nhiên, với việc giới hạn những kẻ gửi thư rác trong một bộ tên miền hạn chế, Yahoo tin rằng "sẽ có thể thiết lập một hồ sơ đen về công ty gửi thư rác đó" và hồ sơ này sẽ được cập nhật liên tục và công bố rộng rãi.
Cho tới nay, những công ty ủng hộ công nghệ mới này còn bao gồm cả những hãng dịch vụ thư điện tử và phần mềm chống thư rác như: AOL, EarthLink, IBM, VeriSign, IronPort Systems, Cox Communications và Trend Micro.
Hiện DomainKey nhận được sự ủng hộ của khoảng 48% số nhà bán lẻ trực tuyến lớn. Nhưng trong số này chưa có những hãng lớn như Dell, Wall-Mart Stores, Target, Gap, Macy's and Circuit City, cho dù những hãng này sẽ có thể nhận được nhiều lợi ích từ công nghệ mới này. Mặt khác, Yahoo đã sớm sử dụng các phiên bản DomainKeys để áp dụng chữ ký số trong toàn bộ các bức thư mà họ gửi đi kể từ năm 2004.
Việc phê chuẩn sơ bộ của IETF cũng đã giúp DomainKeys trở thành một tiêu chuẩn được đề xuất chính thức. Nhưng do chỉ có công nghệ này là ứng cử viên duy nhất nên rất có thể nó sẽ được phê chuẩn chính thức. Một công nghệ cạnh tranh khác của hãng Microsoft là Sender ID, hiện vẫn chưa có được sự phê chuẩn này.
Mặc dù nguyên tắc cơ bản của chương trình Sender ID rất giống với DomainKeys, nhưng nó mới chỉ được thừa nhận một cách hạn chế do Microsoft chưa đồng ý cấp phép các bằng sáng chế theo các phương thức phù hợp với giấy phép mã nguồn mở GNU General Public License. Về phần mình, Yahoo đã đồng ý công bố một số bằng sáng chế của mình để sử dụng với DomainKeys.
DomainKeys Identified Mail là một phiên bản mở rộng của ý tưởng DomainKeys do Yahoo khởi xướng. Phiên bản mới hỗ trợ các tính năng như bảo mật tốt hơn và các chữ ký số của các hãng thứ ba được ủy quyền.
Theo Nhân dân
Số khách trực tuyến: 9112
Lượt truy cập thứ:
