đề tài - mã hóa email với phần mềm pgp

Giới thiệu tổng quát về dịch vụ E-Mail: - Thư điện tử, hay còn gọi là E-Mail Electronics Mail là một hệ thống chuyển nhận thư - Có hai trường hợp phân biệt phần mềm thư điện tử là : *

Trang 1

Training & Education Network

02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041

E-mail: training@athenavn.com – URL: www.athenavn.com

MÃ HÓA EMAIL VỚI PHẦN MỀM PGP

GVHV: Thầy Võ Đỗ Thắng Sinh viên thực hiện:

- Quan Thanh Tâm

- Hoàng Văn Mạnh

- Tống Văn Quang

ĐỀ TÀI:

Trang 2

NHẬN XÉT CỦA GIÁO VIÊN

₪ ‡ ₪

………

Ngày … Tháng … Năm 2009

Trang 3

MỤC LỤC

₪ ‡ ₪

§ Nhận xét của giáo viên Trang 1

III CÁC NGUY CƠ KHI SỬ DỤNG EMAIL Trang 6

Trang 4

I Giới thiệu tổng quát về dịch vụ E-Mail:

- Thư điện tử, hay còn gọi là E-Mail ( Electronics Mail ) là một hệ thống chuyển nhận thư

- Có hai trường hợp phân biệt phần mềm thư điện tử là :

* Loại phần mềm thư điện tử được cài đặt trên từng máy tính của người dùng gọi là Email Client Bao gồm: Microsoft Outlook, Microsoft Outlook Express, Netscape Comunicator, hay Eudora

* Ngược lại, loại phần mềm thư điện tử không cần phải cài đặt mà nó được cung ứng bởi các máy chủ (web server) trên Internet gọi là WebMail, hay Phần mềm thư điện tử qua Web Để dùng được các phần mềm loại này thường các máy tính nối vào phải có một máy truy cập tương thích với sự cung ứng của WebMail Thí dụ loại này là mail.Yahoo.com, hotmail.com, gmail.com

- Vận tốc truyền thư điện tử chỉ vài giây đến vài phút và chi phí rất nhỏ không đáng kể so với gửi qua đường bưu điện.Dùng thư điện tử thì bất kỳ lúc nào cũng có thể mở phần mềm thư điện tử ra đọc nên tiện lợi hơn là việc phải bỏ thư ở các thùng thư Đồng thời, vì mỗi người dùng thư đều phải nhập mật khẩu vào máy nên thư điện tử sẽ khó bị người ở chung đọc lén so với thư gửi bưu điện

- Khối lượng gửi và nhận thư điện tử có thể nhiều hơn thư bưu điện rất nhiều lần Đối với các dịch vụ thư điện tử mới thì dung lượng có thể lên đến hàng Gbyte như dịch vụ của Gmail chẳng hạn, hay nhiều hơn Số thư có thể dự trữ trong dung lượng này tương đương với vài bộ

tự điển bách khoa

- Cấu trúc chung của một địa chỉ email : Một địa chỉ email sẽ bao gồm ba phần chính có

Trang 5

II Giới thiệu các giao thức gửi nhận mail (SMTP, POP3, IMAP):

1 SMTP:

- SMTP (Simple Mail Transfer Protocol - giao thức truyền tải thư tín đơn giản) là một

chuẩn truyền tải thư điện tử qua mạng Internet Giao thức hiện dùng được là ESMTP

(extended SMTP - SMTP mở rộng)

- SMTP là một giao thức dùng nền văn bản và tương đối đơn giản Trước khi một thông điệp được gửi, người ta có thể định vị một hoặc nhiều địa chỉ nhận cho thông điệp - những địa chỉ này thường được kiểm tra về sự tồn tại trung thực của chúng SMTP dùng cổng 25 của giao thức TCP

- SMTP là một giao thức gửi thông điệp và không cho phép ai lấy thông điệp về từ máy

chủ ở xa, theo yêu cầu của mình, một cách tùy ý Để lấy được thông điệp, POP3 (Post Office

Protocol - Giao thức nhận điện tử) hoặc IMAP (Internet Message Access Protocol - Giao thức truy cập thông điệp Internet)

2 POP3 (Post Office Protocol):

- Ngược với SMTP, giao thức POP3 chỉ được dùng để nhận thư về Khi sử dụng POP3, tất

cả thư điện tử của bạn sẽ được download từ mail server về máy cục bộ Bạn cũng có thể chọn

để lại một bản copy của mỗi thư điện tử lại mail server Sử dụng giao thức POP3 có một thuận lợi là sau khi các thư điện tử đã được download về thì bạn có thể ngắt kết nối Internet

và đọc chúng offline, do đó tiết kiệm được chi phí dùng mạng Tuy nhiên POP3 cũng có nhược điểm là khi download thư bạn phải chấp nhận cả một số thứ “rác rưởi” như spam, virus

- Một số Webmail có hỗ trợ POP3 như http://vn.mail.yahoo.com, http://uk.mail.yahoo.com, http://au.mail.yahoo.com, http://sg.mail.yahoo.com, http://hotmail.com, …

3 IMAP (Internet Message Access Protocol)

- Là giao thức chuẩn để truy cập thư điện tử từ server cục bộ của bạn IMAP là giao thức theo mô hình client/server trong đó các thư điện tử được Internet server nhận về và giữ lại cho bạn Điều này đòi hỏi chỉ phải truyền một lượng nhỏ dữ liệu, do đó nó làm việc tốt ngay cả khi bạn có một kết nối Internet chậm như modem dial-up Khi có yêu cầu đọc một thư điện tử

cụ thể, nó mới được tải xuống từ server Bạn cũng có thể tiến hành một số thao tác trên server như tạo/xóa thư mục, xóa thư Webmail có hỗ trợ IMAP như http://mail.aol.com

Trang 6

4 Số cổng (port number) dùng cho mỗi giao thức:

* Secure IMAP (IMAP4-SSL) - port 585

* IMAP4 over SSL (IMAPS) - port 993

* Secure POP3 (SSL-POP) - port 995

Trang 7

III Các nguy cơ khi sử dụng email:

- Webmail: nếu kết nối tới Webmail Server là “không an toàn” (ví dụ địa chỉ là http:// mà không phải là https://), lúc đó mọi thông tin bao gồm Username và password không được mã hóa khi nó từ Webmail Server tới máy tính

- Giả mạo E-mail từ nhà cung cấp dịch vụ : Attacker ( người tấn công ) có thể giả mạo địa chỉ email của một nhà cung cấp dịch vụ mà bạn đang sử dụng để khai thác thông tin từ bạn

Để giả mạo một địa chỉ email nào đó là một việc hết sức đơn giản, đặc biệt là có rất nhiều công cụ hỗ trợ làm việc này

* Ví dụ : vào một ngày đẹp trời nào đó, bạn nhận được một email từ một ngân hàng mà bạn đang sử dụng thông báo, bạn là người đã may mắn trúng giải thưởng 100 triệu đồng Vui lòng đăng nhập vào tài khoản bằng liên kết ở bên dưới hoặc gửi thông tin tài khoản đến một email nào đó để làm thủ tục nhận giải thưởng Bạn làm theo và vài giờ sau, bạn bị mất nhiều tiền trong tài khoản

- Gửi các E-mail chứa các mã hoặc các liên kết độc hại : là các bức thư chứa các đoạn mã (html hoặc javascript ) hoặc liên kết tới những website độc hại nhằm đánh cắp dữ liệu, thông tin, lây nhiễm virus

* Ví dụ: Đôi khi bạn có thể nhận được những bức thư với nội dung rất hay và hấp dẫn, trong bức thư đó yêu cầu bạn mở một liên kết để tiếp tục xem nội dung bạn đang đọc Bạn vô

tư mở liên kết đó ra và máy bạn nhiễm virus Bạn có thể bị đánh cắp dữ liệu máy tính, dữ liệu

cá nhân hoặc bị phá hủy toàn bộ dữ liệu

- Nguy hiểm từ các tệp tin đính kém: lợi dụng sự hiếu kì và tò mò của nạn nhân Kẻ tấn công có thể đính kèm lên bức thư một tệp tin có chứa virus Khi nạn nhân (Victim ) mở file đính kèm đó ra thì máy nạn nhân sẽ bị nhiễm virus (có thể là trojan hourse, worm, virus)

- Tấn công vào E-Mail Server: kẻ tấn công có thể lợi dụng vào các lỗ hổng bảo mật hoặc

sự dễ dãi trong các thiết lập bảo mật để xâm nhập và khai thác các thông tin cá nhân của các e-mail có trong Mail Server đó Ở phương thức tấn công này, nạn nhân hoàn toàn không thể phòng chống mà phải dựa vào sự cẩn thận của người quản trị Mail Server

- Ngoài các yếu tốt trên, ý thức sử dụng E-mail của người dùng cũng chính là một vấn đề cần quan tâm khi nói đến bảo mật E-mail

Trang 8

IV Các giải pháp phòng chống và bảo mật cho dịch vụ E-mail:

1 Đối với người sử dụng :

- Chỉ sử dụng một tài khoản email: Những người mới dùng email thường nghĩ tài khoản email của họ cũng giống như địa chỉ nhà Bạn chỉ có một địa chỉ nhà nên cũng chỉ cần có một địa chỉ email

- Một nguyên tắc chủ chốt đối với người dùng email là phải giữ tối thiểu khoảng 3 tài khoản Tài khoản làm việc sẽ được sử dụng dành riêng cho các vấn đề liên quan đến công việc Tài khoản thứ hai nên được sử dụng cho các vấn đề cá nhân và liên hệ; còn tài khoản thứ

ba được dùng cho tất cả các hành vi mạo hiểm nói chung Điều đó có nghĩa là bạn luôn luôn đăng ký nhận thư tin và các cuộc tranh cãi chỉ thông qua tài khoản email thứ ba Tương tự như vậy, nếu phải gửi thông tin lên tài khoản email online như blog cá nhân thì bạn chỉ nên sử dụng tài khoản email thứ ba

- Không đóng trình duyệt sau khi đăng xuất: Khi đang kiểm tra email trong thư viện hoặc quán cafe nào đó bạn không chỉ cần thiết phải đăng xuất khỏi tài khoản email mà còn phải bảo đảm đóng hoàn toàn cả cửa sổ trình duyệt Một số dịch vụ email hiển thị tên người dùng (nhưng không hiển thị mật khẩu) thậm chí sau khi đã đăng xuất Trong khi dịch vụ thực hiện điều này giúp thuận tiện cho việc sử dụng thì nó vô tình đã thỏa hiệp bảo mật email

- Quên không xóa cache trình duyệt, history và password: Sau khi sử dụng ứng dụng công cộng, một việc quan trọng bạn phải nên nhớ là xóa cache trình duyệt, history và password Hầu hết các trình duyệt đều tự động giữ kiểm tra đối với tất cả các website mà bạn đã vào, một số giữ bất kỳ mật khẩu hay thông tin cá nhân nào đã nhập vào để giúp thực hiện nhanh đối với các biểu mẫu tương tự lần sau

- Nếu bạn đang gửi email đến nhóm người khác nhau, hãy sử dụng BCC, vì CC sẽ làm giảm vấn đề bảo mật và những thông tin riêng tư quan trọng Nó có thể bị lợi dụng bởi các Spammer, chúng có thể lấy toàn bộ email có trong danh sách gửi của bạn và ngay lập tức mọi người trong danh sách email của bạn bị spam

- Mắc khuyết điểm sao lưu dự phòng email: Các email không chỉ dùng cho việc “chat” lúc nhàn rỗi mà còn được sử dụng để tạo liên lạc nối kết hợp lệ, các quyết định tài chính lớn và xây dựng cuộc hội thảo chuyên nghiệp Khi giữ những bản copy làm ăn quan trọng và tài liệu

cá nhân thì bạn cần phải thực hiện vấn đề back up email để duy trì một bản ghi nếu email client của bạn bị hỏng hoặc mất dữ liệu (nó đã từng xảy ra với Gmail gần đây vào năm 2006)

- Mắc khuyết điểm trong việc quét tất cả các đính kèm: Có đến 9/10 virus tiêm nhiễm vào máy tính của bạn thông qua việc đính kèm email Bất chấp tỉ lệ này, một số người vẫn không thực hiện việc quét tất cả các đính kèm được gửi đến

Trang 9

- Sử dụng các mật khẩu đơn giản và dễ đoán: Các hacker sử dụng nhiều chương trình máy tính để biên dịch tên người dùng có thể, sau đó gửi spam email đến các tên người dùng này Khi mở một spam email, một mẫu mã ẩn trong email sẽ gửi quay lại một thông báo cho hacker biết rằng tài khoản này là hợp lệ, đạt được điểm này xong, nó tiếp tục quay trở lại cách làm như vậy để đoán mật khẩu

2 Đối với người Quản trị:

- Phải thường xuyên cập nhật các phiên bản mới hoặc các bản vá lỗi cho phần mềm Email Server , Email Client , Webmail

- Hạn chế quyền hạn truy cập vào Mail Server, tắt các ứng dụng không cần thiết, tắt các tài khoản khách ( Guest , Anynomous )

- Cập nhật các phiên bản mới cho chương trình quét virus, ngăn chặn sự lây nhiễm virus

từ các file đính kèm trong thư từ điện tử

- Không cho phép thực thi các mã nguồn html, javascript trong email nếu người dùng không quy định sẵn

Trang 10

V Giới thiệu tiện ích PGP:

- Mật mã hóa PGP (Pretty Good Privacy) là một phần mềm máy tính dùng để mật mã hóa

dữ liệu và xác thực Phiên bản PGP đầu tiên do Phil Zimmermann được công bố vào năm

1991 Kể từ đó, phần mềm này đã có nhiều cải tiến và hiện nay tập đoàn PGP cung cấp nhiều phần mềm dựa trên nền tảng này Với mục tiêu ban đầu là phục vụ cho mã hóa thư điện tử, PGP hiện nay đã trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ cũng như các

cá nhân Các phần mềm dựa trên PGP được dùng để mã hóa và bảo vệ thông tin lưu trữ trên máy tính xách tay, máy tính để bàn, máy chủ và trong quá trình trao đổi thông qua email, IM hoặc chuyển file Giao thức hoạt động của hệ thống này có ảnh hưởng lớn và trở thành một trong hai tiêu chuẩn mã hóa (tiêu chuẩn còn lại là S/MIME)

- Mục tiêu ban đầu của PGP nhằm vào mật mã hóa nội dung các thông điệp thư điện tử và các tệp đính kèm cho người dùng phổ thông Bắt đầu từ 2002, các sản phẩm PGP đã được đa dạng hóa thành một tập hợp ứng dụng mật mã và có thể được đặt dưới sự quản trị của một máy chủ Các ứng dụng PGP giờ đây bao gồm: thư điện tử, chữ ký số, mật mã hóa ổ đĩa cứng máy tính xách tay, bảo mật tệp và thư mục, bảo mật các phiên trao đổi IM, mật mã hóa luồng chuyển tệp, bảo vệ các tệp và thư mục lưu trữ trên máy chủ mạng

- Các phiên bản mới của PGP cho phép sử dụng cả 2 tiêu chuẩn: OpenPGP và S/MIME, cho phép trao đổi với bất kỳ ứng dụng nào tuân theo tiêu chuẩn của NIST

1 Hoạt động của PGP:

- PGP sử dụng kết hợp mật mã hóa khóa công khai (public key) và thuật toán khóa bất đối xứng cộng với hệ thống xác lập mối quan hệ giữa khóa công khai và chỉ danh người dùng (ID)

- PGP sử dụng thuật toán mật mã hóa khóa bất đối xứng Trong các hệ thống này, người

sử dụng đầu tiên phải có một cặp khóa: khóa công khai và khóa bí mật (private key) Người gửi sử dụng khóa công khai của người nhận để mã hóa một khóa chung, còn gọi là khóa phiên (session), dùng trong các thuật toán mật mã hóa khóa đối xứng Khóa phiên này chính là khóa

để mật mã hóa các thông tin được gửi qua lại trong phiên giao dịch Rất nhiều khóa công khai của những người sử dụng PGP được lưu trữ trên các máy chủ khóa PGP trên khắp thế giới (các máy chủ mirror lẫn nhau)

- Người nhận trong hệ thống PGP sử dụng khóa phiên để giải mã các gói tin Khóa phiên này cũng được gửi kèm với thông điệp nhưng được mật mã hóa bằng hệ thống mật mã bất đối xứng và có thể tự giải mã với khóa bí mật của người nhận Hệ thống phải sử dụng cả 2 dạng

Trang 11

thuật toán để tận dụng ưu thế của cả hai: thuật toán bất đối xứng đơn giản việc phân phối khóa còn thuật toán đối xứng có ưu thế về tốc độ (nhanh hơn cỡ 1000 lần)

- Đầu tiên, PGP tính giá trị hàm băm của thông điệp rồi tạo ra chữ ký số với khóa bí mật của người gửi Khi nhận được văn bản, người nhận tính lại giá trị băm của văn bản đó đồng thời giải mã chữ ký số bằng khóa công khai của người gửi Nếu 2 giá trị này giống nhau thì có thể khẳng định (với xác suất rất cao) là văn bản chưa bị thay đổi kể từ khi gửi và người gửi đúng là người sở hữu khóa bí mật tương ứng

- Trong quá trình mã hóa cũng như kiểm tra chữ ký, một điều vô cùng quan trọng là khóa công khai được sử dụng thực sự thuộc về người được cho là sở hữu nó Nếu chỉ đơn giản là download một khóa công khai từ đâu đó sẽ không thể đảm bảo được điều này PGP thực hiện việc phân phối khóa thông qua chứng thực số được tạo nên bởi những kỹ thuật mật mã sao cho việc sửa đổi (không hợp pháp) có thể dễ dàng bị phát hiện Tuy nhiên chỉ điều này thôi thì chưa đủ vì nó chỉ ngăn chặn được việc sửa đổi sau khi chứng thực đã được tạo ra Người dùng còn cần phải được trang bị khả năng kiểm tra xem khóa công khai có thực sự thuộc về người được cho là sở hữu hay không

2 OpenPGP và các phần mềm dựa trên PGP:

- Do tầm ảnh hưởng lớn của PGP trên phạm vi thế giới (được xem là hệ thống mật mã chất lượng cao được sử dụng nhiều nhất), rất nhiều nhà phát triển muốn các phần mềm của họ làm việc được với PGP Đội ngũ phát triển PGP đã thuyết phục Zimmermann và đội ngũ lãnh đạo của PGP, một tiêu chuẩn mở cho PGP là điều cực kỳ quan trọng đối với công ty cũng như cộng đồng sử dụng mật mã Ngay từ năm 1997 đã có một hệ thống tuân thủ theo các tiêu chuẩn của PGP của một công ty Bỉ tên là Veridis (lúc đó có tên là Highware) với bản quyền PGP nhận được từ Zimmermann

- Vì vậy vào tháng 7 năm 1997, PGP Inc đề xuất với IETF về một tiêu chuẩn mở có tên là OpenPGP PGP Inc cho phép IETF quyền sử dụng tên OpenPGP cho tiêu chuẩn cũng như các chương trình tuân theo tiêu chuẩn mới này IETF chấp thuận đề xuất và thành lập nhóm làm việc về OpenPGP

- Hiện nay, OpenPGP là một tiêu chuẩn Internet và được quy định tại RFC 2440 (tháng 7 năm 1998) OpenPGP vẫn đang trong giai đoạn phát triển và tiếp tục được hoàn thiện

- Quỹ phát triển phần mềm tự do (Free Software Foundation) cũng phát triển một chương trình tuân theo OpenPGP có tên là GNU Privacy Guard (GnuPG) GnuPG được phân phối miễn phí cùng với mã nguồn theo giấy phép GPL Ưu điểm của việc sử dụng GnuPG so với PGP (tuy GnuPG chưa có giao diện GUI cho Windows) là nó luôn được cung cấp miễn phí

Định dạng
Số trang	23
Dung lượng	1,52 MB