Trong bài viết này có sử dụng thuật ngữ: “root of trust”, dịch tiếng Việt là nguồn tin cậy gốc. Một root of trust dựa trên phần cứng mang lại triển khai xác thực an toàn nhất, do được bảo vệ trước các cuộc tấn công phần mềm độc hại. Đối với Bộ Quốc phòng Hoa Kỳ (DoD) và các cơ quan chính phủ khác, Personal Identity Verification (PIV) và Common Access Card (CAC) từ lâu đã được sử dụng như root of trust phần cứng truyền thống. Tuy nhiên, tồn tại nhiều tình huống mà PIV và CAC khó triển khai hoặc không phù hợp; chẳng hạn như đối với nhân sự làm việc từ xa, nhân sự không đủ điều kiện sử dụng PIV/CAC, các thiết bị di động và mô hình Bring Your Own Approved Device (Sử dụng thiết bị cá nhân đã qua kiểm duyệt – BYOAD), cũng như các thiết bị/máy trạm dùng chung.
YubiKey là khóa bảo mật phần cứng được DoD phê duyệt, đạt chứng nhận FIPS 140-2 (Certificate #3914), đồng thời hỗ trợ các thông tin xác thực phái sinh (derived credentials) như Purebred. Các cơ quan chính phủ có thể tận dụng YubiKey như một root of trust di động nhằm bảo vệ nhân viên, nhà thầu, đối tác DIB và công dân khỏi các cuộc chiếm đoạt tài khoản. Thông tin xác thực (credentials) được lưu trữ trên YubiKey, cho phép người dùng di chuyển liền mạch giữa các thiết bị như thiết bị di động, laptop và máy tính để bàn mà không cần hạ tầng PIV/CAC, mã SMS hay ứng dụng xác thực.
Với YubiKey đóng vai trò root of trust di động, người dùng có thể:
- Nhanh chóng chuyển đổi bất kỳ thiết bị nào thành thiết bị đáng tin cậy
- Sở hữu thông tin xác thực di động để xác thực liền mạch trên nhiều thiết bị
- Trải nghiệm khả năng khôi phục tài khoản nhanh chóng trong trường hợp thiết bị bị mất hoặc bị đánh cắp
Trong trường hợp thông tin xác thực phái sinh được lưu trực tiếp trên thiết bị, nếu điện thoại hoặc máy tính bị mất hay bị đánh cắp, điều này có thể dẫn đến vi phạm bảo mật nếu tội phạm mạng trích xuất được thông tin xác thực từ thiết bị. Ngược lại, các thông tin xác thực lưu trên YubiKey an toàn hơn đáng kể và không thể bị trích xuất hoặc can thiệp. Khi thiết bị di động hoặc máy tính bị mất hay bị đánh cắp, YubiKey có thể được sử dụng như một phương thức đơn giản để tái thiết lập niềm tin với các tài khoản trực tuyến và đăng ký lại trình xác thực nội bộ trên thiết bị mới. Nhờ đó, YubiKey với vai trò root of trust bên ngoài cho phép chuyển giao mức độ tin cậy cao từ thiết bị này sang thiết bị khác, từ đó thiết lập chúng thành các thực thể đáng tin cậy.
Các trường hợp sử dụng YubiKey như root of trust di động:
- BYOAD và GFE: Dù là BYOAD (Bring Your Own Device: Mang thiết bị cá nhân đi làm) hay GFE (Government Furnished Equipment: Thiết bị do Chính phủ cung cấp), phần lớn thiết bị di động không hỗ trợ xác thực dựa trên thẻ thông minh. Với YubiKey đóng vai trò root of trust di động; nhân sự chính phủ, nhà thầu và đối tác DIB (Defense Industrial Base: Cơ sở công nghiệp quốc phòng) có thể ủy quyền cho thiết bị di động cá nhân của họ để sử dụng trên mạng chính phủ, cũng như cài đặt các ứng dụng chính phủ, ứng dụng quản lý thiết bị di động (MDM), chương trình email, v.v., từ đó biến các thiết bị này thành thiết bị đáng tin cậy. Thiết bị chỉ cần được ủy quyền một lần; tuy nhiên, tùy theo chính sách của cơ quan, người dùng vẫn có thể được yêu cầu xác thực an toàn khi truy cập các ứng dụng và dịch vụ chính phủ trên thiết bị di động của họ. Ngay cả các thiết bị GFE cũng có thể hưởng lợi từ YubiKey, đặc biệt trong trường hợp nhân sự làm việc từ xa, khi thiết bị chính phủ được gửi đến nơi cư trú cá nhân. Trong kịch bản này, YubiKey có thể được sử dụng như một root of trust di động để đảm bảo thiết bị không bị xâm phạm trong quá trình vận chuyển.
- Kết nối nhiều thiết bị: Trong kỷ nguyên số hiện nay, người dùng hiếm khi làm việc chỉ trên một thiết bị hoặc nền tảng duy nhất. Việc chuyển đổi giữa thiết bị di động, máy tính để bàn, laptop hoặc tablet; thậm chí giữa thiết bị cá nhân và thiết bị công việc là điều phổ biến. Việc sở hữu một trình xác thực bên ngoài, di động và có thể hoạt động trên mọi thiết bị điện toán giúp các quá trình chuyển đổi này trở nên liền mạch. Với các tùy chọn kết nối như NFC, USB-A, USB-C và Lightning, YubiKey đáp ứng nhu cầu của mọi nhân sự và thiết bị trong môi trường chính phủ.
-
Yubico YubiKey 5 Nano
Giá gốc là: 2.150.000₫.1.490.000₫Giá hiện tại là: 1.490.000₫. Đặt Mua -
Yubico YubiKey 5Ci
Giá gốc là: 2.990.000₫.2.390.000₫Giá hiện tại là: 2.390.000₫. Đặt Mua -
Yubico YubiKey 5C NFC
1.990.000₫ Đặt Mua -
Yubico YubiKey 5 NFC
Giá gốc là: 1.990.000₫.1.580.000₫Giá hiện tại là: 1.580.000₫. Đặt Mua
- Thiết bị/máy trạm dùng chung: Nhân sự chính phủ sử dụng thiết bị hoặc máy trạm dùng chung có thể hưởng lợi từ root of trust di động tương tự như PIV và CAC. Họ có thể xác thực vào mạng bằng thông tin xác thực smart card đáng tin cậy được lưu trên YubiKey, qua đó chứng minh họ là người dùng hợp lệ và đáng tin cậy.
- Ứng dụng bảo mật cao: Do không phụ thuộc vào internet hoặc chip đa mục đích hay thiết bị điện toán, bề mặt tấn công (attack vector) của một trình xác thực phần cứng bên ngoài tự nhiên sẽ nhỏ hơn đáng kể. Trong một số kịch bản, các dịch vụ có thể yêu cầu xác thực nâng cao (step-up authentication) để hoàn tất các hành động có rủi ro cao, chẳng hạn như truy cập hệ thống và tài liệu mật cấp cao. Khi đó, YubiKey có thể được sử dụng như một lớp xác thực bổ sung cho các ứng dụng bảo mật cao, giúp nhanh chóng xác minh lại người dùng trước khi cấp quyền truy cập hoặc thực hiện hành động yêu cầu.
- Xác thực cho các hệ thống hợp pháp: Hầu hết các cơ quan chính phủ sử dụng nhiều hệ thống, nền tảng và thiết bị khác nhau, và không phải tất cả đều hỗ trợ các tiêu chuẩn xác thực mới như FIDO, WebAuthn và PIV/CAC. YubiKey là lựa chọn phù hợp vì hỗ trợ nhiều giao thức như smart card, FIDO U2F, FIDO2/WebAuthn, OpenPGP và OTP. Khả năng đa giao thức của YubiKey cũng giúp đáp ứng nhiều nhu cầu bảo mật hơn, chẳng hạn như đăng nhập máy tính và truy cập từ xa, chữ ký số cho ký mã nguồn, key escrow cho mã hóa email, hoặc truy cập đặc quyền trong các môi trường hệ điều hành cũ.
- Xác thực dự phòng: Bất kể người dùng đang xác thực tài khoản bằng phương thức nào, việc có một phương án dự phòng luôn là thực tiễn tốt nhất trong trường hợp phương thức chính bị mất, bị đánh cắp, hỏng hóc hoặc không thể truy cập. YubiKey là một lựa chọn đơn giản và chi phí hợp lý mà nhân sự chính phủ có thể mang theo trên móc khóa, để trong ví hoặc cất giữ ở nơi an toàn, giúp dễ dàng sử dụng bất cứ lúc nào khi cần.
Một root of trust di động mang tính bảo đảm cho tương lai:
Khi các cơ quan chính phủ dần áp dụng các tiêu chuẩn và giao thức xác thực mới trong tương lai như WebAuthn/FIDO2, YubiKey có thể dễ dàng chuyển đổi từ việc sử dụng thông tin xác thực thẻ thông minh PIV và CAC sang hỗ trợ xác thực dựa trên FIDO hiện đại. Điều này giúp YubiKey trở thành lựa chọn tối ưu cho một root of trust di động ở hiện tại; và cả trong tương lai, khi các cơ quan chính phủ sẵn sàng triển khai các tiêu chuẩn xác thực FIDO2 tiên tiến.
