BÁO CÁO ĐỒ ÁN ỨNG DỤNG TRUYỀN THÔNG & AN NINH THÔNG TIN SECURE EMAIL

Nhận một email từ người gửi Khi một SMTP Server nhận một thông điệp email, đầu tiên nó sẽ kiểm tra trênserver của mình có inbox của người nhận hay không.. Nếu không có, nó

Trang 1

Trường Đại Học Công Nghệ Thông Tin

BÁO CÁO ĐỒ ÁN ỨNG DỤNG TRUYỀN THÔNG & AN NINH THÔNG TINĐỀ TÀI

SECURE EMAIL

Lê Văn Thương

Nguyễn Thành Vinh

Nguyễn Văn Thiệu

Đặng Tiểu Bình

08520599085206180852059608520032

Trang 2

Trích yếu

Mục tiêu và đối tượng tìm hiểu của báo cáo

Báo cáo tìm hiểu một số vấn đề liên quan đến bảo mật email và các nguy cơ trong môitrường sử dụng email Trong đó, việc tìm hiểu các giải pháp để bảo mật email được quantâm xem xét Cụ thể, báo cáo sẽ đi tổng quan về cơ sở lý thuyết của hệ thống email vànêu lên các nguy cơ về bảo mật hiện hữu Từ đó báo cáo sẽ tìm hiểu về các giải pháp chocác vấn đề đã nêu ở trên Bên cạnh việc tìm hiểu lý thuyết và các giải pháp, báo cáo sẽthực hiện các bài lab để mô phỏng việc thực thi các giải pháp này

Phương pháp nghiên cứu và tìm kiếm thông tin

Trong báo cáo, chúng em sử dụng các kiến thức đã được học ở môn “An toàn mạng máytính” được dạy ở trường Đại học Công nghệ Thông tin Các kiến thức được sử dụng baogồm mật mã khóa đối xứng và bất đối xứng, chứng chỉ số CA Chúng em sử dụng searchgoogle.com để tìm kiếm các tài liệu liên quan, sử dụng trang youtube.com để tham khảocác video bài lab

Các kết quả thu được

- Tìm hiểu được các nguy cơ hiện hữu trong hệ thống email cũng như trong quátrình truyền email

- Tìm hiểu được các giải pháp có thể sử dụng và cấu hình cho email client để bảomật email

- Tìm hiểu và phân tích được bộ lọc Spam mail của Gmail

- Thực hiện được các bài lab mô phỏng thực tế việc thực hiện các giải pháp đã đềra: bao gồm việc cấu hình email client theo các chuẩn và gửi email sử dụng theocác giải pháp đã tìm hiểu được

Trang 3

Mục lục

Trích yếu i

Mục lục ii

Lời cảm ơn iv

Danh mục v

1 Lời nói đầu 1

2 Cơ sở lý thuyết 3

2.1 Cấu trúc và hoạt động của hệ thống email 3

2.1.1 Gửi một email đến người nhận 3

2.1.2 Nhận một email từ người gửi 4

2.2 Các nguy cơ về bảo mật đối với các giao tiếp email 6

2.2.1 Sự thiếu bảo mật trong hệ thống email 6

2.2.2 Các nguy cơ trong quá trình gửi email 7

2.3 Nguy cơ về Spam mail 9

2.3.1 Giới thiệu về spam 9

2.4 Tác hại của spam 11

3 Giải pháp bảo mật email và cơ chế phòng chống spam 13

3.1 Sử dụng chứng chỉ số 13

3.1.1 Giới thiệu về chứng chỉ số 13

3.1.2 Lợi ích khi sử dụng chứng chỉ số 13

3.2 Áp dụng các giải pháp bảo mật email cụ thể 17

3.2.1 Bảo mật email với SSL và TLS 17

Trang 4

3.3 Các cơ chế phòng chống Spam mail 23

3.3.1 Mô hình của Gmail 23

3.3.2 Công nghệ DNS Blacklist 26

3.3.3 Công nghệ SURBL list 27

3.3.4 Chặn IP 28

3.3.5 Kiểm tra địa chỉ IP 29

3.3.6 Sử dụng bộ lọc Bayesian 30

3.3.7 Sử dụng danh sách Black/White list 31

3.3.8 Sử dụng tính năng Challenge/Response 32

3.3.9 Kiểm tra header 33

4 Bài Lab mô phỏng 34

5 Kết luận và kiến nghị 35

Tài liệu tham khảo 36

Phụ lục 37

Trang 5

Lời cảm ơn

Trước tiên, em muốn gửi lời cảm ơn sâu sắc nhất đến thầy giáo Ths NCS Tô NguyễnNhật Quang đã tận tình hướng dẫn chúng em trong quá trình nghiên cứu đề tài này

Chúng em xin bày tỏ lời cảm ơn sâu sắc đến những thầy cô giáo đã giảng dạy chúng emtrong bốn năm qua, những kiến thức mà chúng em nhận được trên giảng đường đại học sẽ

là hành trang giúp chúng em vững bước trong tương lai

Cuối cùng, chúng em muốn gửi lời cảm ơn sâu sắc đến tất cả bạn bè đã góp ý để bài báo cáo hoàn thiện hơn

TP Hồ Chí Minh, tháng 3 năm 2012

Nhóm viết báo cáo

Trang 6

Danh mục

Danh mục hình ảnh

Hình 2.1: Gửi email đến người nhận 4

Hình 2.2: Quá trình gửi nhận email 5

Hình 2.3: Eavesdropping 7

Hình 3.1: Xác thực email bằng PGP 21

Hình 3.2: Mã hóa email bằng PGP 22

Hình 3.3: Kết hợp mã hóa và xác thực email bằng PGP 22

Hình 3.4: Biểu đồ lọc spam mail của Gmail 23

Hình 3.5: Sơ đồ lọc spam mail của Gmail 24

Hình 3.6: Công nghệ DNS Blacklist 26

Hình 3.7: Công nghệ SURBL list 27

Hình 3.8: Công nghệ chặn IP 28

Hình 3.9: Kiểm tra địa chỉ IP 29

Hình 3.10: Sử dụng bộ lọc Bayesian 30

Hình 3.11: Sử dụng danh sách Black/White list 31

Hình 3.12: Sử dụng tính năng Challenge/Response 32

Trang 7

Danh mục từ viết tắt

3

Nâng cấp Tiêu chuẩn Mã hóaDữ liệu (mã hóa thông tin qua

3 lần mã hóa DES với 3 khóakhác nhau)

C

D

Hệ thống tên miền được phátminh vào năm 1984cho Internet

Kết hợp giữa giao thức HTTP

và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet

I

của Symantec

Trang 8

sử dụng bởi các máy chủ nguồn và đích để truyền dữliệu trong một liên mạng chuyển mạch gói.

P

Mật mã hóa PGP Là một phầnmềm máy tính dùng để mật mãhóa dữ liệu và xác thực

R

hóa khóa công khai

Thuật giải băm an toàn, là năm thuật giải được chấp nhận bởi FIPS dùng để chuyển một đoạn dữ liệu nhất định thành một đoạn dữ liệu có chiều dài không đổi với xác suất khác biệt cao

Giao thức truyền tải thư tín đơn giản, là một chuẩn truyền tải thư điện tử qua

mạng Internet

Transport Layer Security

Một chứng chỉ số

Trang 9

SURBL Một công nghệ chống SPAM

của Gmail

U

Trang 10

1 Lời nói đầu

Email là một phương tiện thông tin liên lạc tiện lợi và ngày càng được sử dụng rộng rãihiện nay Vì vậy nó cũng là phương tiện và mục tiêu để những kẻ tấn công nhắm tới.Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm vụquan trọng mà các nhà cung cấp và người quản trị cần quan tâm

Theo báo cáo Bảo mật Intelligence Report tháng 2-2012 của Symantec cho thấy sự gia

tăng của các mã độc (malware) và các hành vi lừa đảo (phishing) trên Internet Cứ 274.0email trên toàn cầu được gửi đi trong tháng 2-2012 thì có 1 email được xác định có chứamã độc, trong đó phát hiện và ngăn chặn được 28.7% Trong tháng 2 năm 2012, cứ 358.1emails thì có 1 email có nội dung lừa đảo; 68% email được gửi đi trên toàn cầu là emailspam, nghĩa là cứ 1.47 email được gửi đi thì trong số đó có 1 email spam Trong số tổnglượng email spam thì có tới 43% nội dung liên quan tới lĩnh vực Adult/Sex/Dating, trong

đó các email có dung lượng lớn thường chứa mã độc.1

Qua bài báo cáo này, cho thấy mức độ nguy hiểm to lớn khi truyền thông trên môi trườngemail Do đó, chúng em muốn đi sâu nghiên cứu các nguy cơ về bảo mật email và cácgiải pháp cho các vấn đề được đặt ra nhằm nâng cao kiến thức chuyên môn của mình đểphục vụ cho quá trình học tập sau này Mục tiêu của báo cáo là nêu lên được các giảipháp cho những vấn đề về bảo mật email đã nêu và thực hiện bài lab để mô phỏng thực tếcác giải pháp

Cấu trúc nội dung của báo cáo như sau:

1 Symantec, 2012, Symantec Intelligence Report: February 2012, viewed 2 April 2012,

Trang 11

1 Lời nói đầu

Giới thiệu về đề tài, bối cảnh của đề tài, mục tiêu và các giới hạn của đề tài

2 Cơ sở lý thuyết

Giới thiệu một cách sơ lược về các kiến thức lý thuyết cơ bản về Email và nêu lêncác nguy cơ đối với Email

3 Nghiên cứu các giải pháp

Đưa ra các giải pháp cho các vấn đề được đặt ra ở phần 1

4 Thực hiện bài lab mô phỏng

Thực hiện bài lab mô phỏng thực tế một trong các giải pháp đã được nêu ở phần 2

5 Kết luận và kiến nghị

Rút ra kết luận những gì đã tìm hiểu được qua bài báo cáo nói trên và đưa ra các kiến nghị của bản thân đối với vấn đề bảo mật Email

Trang 12

1 Cơ sở lý thuyết

1.1 Cấu trúc và hoạt động của hệ thống email

Phần này sẽ mô tả cơ bản về kiến trúc của một hệ thống Email, cũng như cơ chế và đường đi của một email từ nơi gửi đến nơi nhận

1.1.1 Gửi một email đến người nhận

Gửi một email cũng giống như khi bạn gửi một lá thư Khi gửi một lá thư, bạnphải gửi nó vào một bưu điện địa phương Bưu điện địa phương đó “đọc” địa chỉ

và các thông tin trên bức thư của bạn mà quyết định bức thư đó sẽ phải gửi đếnbưu điện khu vực nào tiếp theo Khi đó bưu điện khu vực này sẽ “đọc” địa chỉ vàcác thông tin để quyết định sẽ gửi bức thư này đến bưu điện địa phương nào tiếptheo Cuối cùng, từ bưu điện địa phương, bức thư sẽ được chuyển đến tay ngườinhận

Máy tính cũng giống như một “bưu điện địa phương” và giao thức truyền thôngemail (SMTP) là “thủ tục” mà các “bưu điện địa phương” sử dụng để “đọc” thôngtin của email và truyền đến cấp “bưu điện” kế tiếp

Hầu hết mọi người gửi email bằng hai cách sau:

- Sử dụng dịch vụ email nền Web (ví dụ: Gmail, Yahoo Mail, Hotmail)

- Sử dụng các chương trình “Email client” như Outlook, Thunderbird

Khi bạn gửi email bằng chương trình email client trên máy tính (hoặc trên điệnthoại, smartphone), bạn phải chỉ định một server để chương trình email xác địnhphải gửi email đi đâu Server được chỉ định đó cũng giống như “bưu điện địaphương” Chương trình email giao tiếp trực tiếp với server sử dụng giao thứcSMTP Việc gửi email đi cũng giống như bạn gửi nó vào bưu điện địa phươngvậy

Trang 13

Khi bạn gửi một email sử dụng Webmail, khi đó bạn sẽ sử dụng giao thức HTTPhoặc HTTPS để kết nối với Webmail Server để truy cập các dịch vụ email Sau đóWebmail sẽ dùng giao thức SMTP để kết nối tới SMTP Server và gửi thông điệp

đó đi

Hình 2.1: Gửi email đến người nhận

1.1.2 Nhận một email từ người gửi

Khi một SMTP Server nhận một thông điệp email, đầu tiên nó sẽ kiểm tra trênserver của mình có inbox của người nhận hay không Nếu không có, nó sẽ tiếptục truyền thông điệp email này đến một SMTP Server khác gần nhất với nó.Quá trình này tương tự như quá trình chuyển tiếp giữa “bưu điện địa phương”với “bưu điện khu vực” Quá trình này được gọi là “SMTP relaying”

Các tình huống có thể xảy ra khi gửi một email từ máy tính người gửi đếnSMTP Server người nhận Bao gồm:

- SMTP server của người gửi kết nối thành công với SMTP server củangười nhận và gửi thông điệp email trực tiếp đến đó

Trang 14

- SMTP server của người gửi không thể kết nối đến SMTP server thực sựcủa người nhận (có thể lúc đó server đang bận, server bị down, hoặc bịlỗi kết nối) Trong trường hợp này, server người gửi cố gắng kết nối vàchuyển thông điệp đến backup server đầu tiên của người nhận.

- SMTP server người gửi không thể kết nối đến SMTP server người nhận

và cả backup server đầu tiên Trong trường hợp này, SMTP server ngườigửi cố gắng kết nối và chuyển email cho backup server thứ hai

- Trường hợp cuối cùng, server của người gửi không thể kết nối đến tất cảserver của người nhận Trong trường hợp này, nó sẽ đưa thông điệpemail đó vào hàng đợi và cố gắng gửi chúng vào lần sau Nó sẽ cố gắnggửi email này trong vài ngày đến khi thành công hoặc thông điệp bị hủy.Bất cứ email nào được chuyển giao đến backup server đều trải qua quá trình cốgắng kết đến SMTP thực sự của người nhận, hoặc backup server được ưu tiêncao hơn SMTP Server có thể đưa email vào hàng đợi để chuyển đi lần sau (Chúý rằng SMTP Server của người nhận có thể không có backup server nào hoặc cónhiều hơn, chứ không nhất thiết là hai backup server)

Hình 2.2: Quá trình gửi nhận email

Trang 15

1.2 Các nguy cơ về bảo mật đối với các giao tiếp email

1.2.1 Sự thiếu bảo mật trong hệ thống email

 Webmail

Nếu kết nối tới Webmail Server là “không an toàn” (ví dụ sử dụng giaothức là HTTP chứ không phải là HTTPS), lúc đó mọi thông tin bao gồmusername và password sẽ được truyền đi dạng plaintext chứ khôngđược mã hóa

SMTP không mã hóa thông điệp (ngoại trừ các máy chủ có hổ trợ mãhóa TLS) Giao tiếp giữa các SMTP Server truyền thông tin dưới dạngplaintext; điều đó dễ dàng bị các hành động nghe lén phát hiện và khaithác Thêm vào đó, nếu email server yêu cầu bạn gửi username vàpassword để “login” vào SMTP server mục đích để chuyển thông điệp tớimột server khác, khi đó tất cả đều được gửi dưới dạng plaintext Cuốicùng, thông điệp gửi bằng SMTP bao gồm thông tin về má y tính màchúng được gửi đi và chương trình e mail đã được sử dụng

 POP và IMAP

Giao thức POP và IMAP yêu cầu bạn gửi username và password để login,đều không được mã hóa Vì vậy, thông điệp của bạn có thể được đọc bởibất kỳ hoạt động nghe lén nào Các thông tin có thể bị khai thác có thể baogồm thông tin về máy tính của bạn và nhà cung cấp dịch vụ email mà bạnsử dụng

 Backups Server

Trang 16

Thông điệp được lưu trữ trên SMTP server dưới dạng plaintext, khôngđược mã hóa Việc sao lưu dữ liệu trên server có thể được thực hiện bấtcứ lúc nào và người quản trị có thể đọc bất kỳ dữ liệu nào Nội dungemail của bạn có thể bị lưu trữ bất ngờ và vô thời hạn trên backup server.

1.2.2 Các nguy cơ trong quá trình gửi email

 Eavesdropping

Internet là nơi rộng lớn với rất nhiều người sử dụng Thật dễ dàng để ai đótruy cập vào máy tính hoặc mạng nội bộ, bắt các thông tin và đọc lénchúng Giống như ai đó ở phòng kế bên đang lắng nghe cuộc nói chuyệnđiện thoại của bạn, hacker có thể sử dụng các công cụ man-in-the-middleđể bắt toàn bộ các gói tin từ người sử dụng email Việc này có thể đượcthực hiện một cách dễ dàng thông qua các chương trình như Cain&Abel,Ettercap

Trang 17

SMTP, POP, IMAP hoặc kết nối Webmail, bằng cách đọc thông điệpkhông được mã hóa trên các giao thức email này.

 Invasion of Privacy

Nếu bạn rất quan tâm đến thông tin riêng tư của mình, bạn cần xem xétkhả năng việc sao lưu dữ liệu email của bạn không được bảo vệ Bạn cóthể cũng quan tâm đến việc những người khác có khả năng biết được địachỉ IP của máy tính bạn Thông tin này có thể được dùng để nhận ra thànhphố bạn đang sống hoặc thậm chí trong trường hợp nào đó có thể tìm ra địachỉ của bạn Việc này không xảy ra với WebMail, POP, IMAP, nhưng đốivới SMTP thì lại có khả năng xảy ra

 Message Modification

Bất cứ Administrator nào trên bất kỳ SMTP server nơi các email đượcchuyển tiếp qua đó đều có thể đọc thông điệp của bạn và hơn thế nữa, họcòn có thể hay thay đổi thông điệp trước khi nó tiếp tục đi đến đích Ngườinhận của bạn sẽ không thể biết thông điệp của bạn có bị thay đổi haykhông? Nếu thông điệp bị xóa đi mất thì họ cũng không thể biết rằng cóthông điệp đã được gửi cho họ

 Fake Messages

Thật dễ dàng để tạo ra một email giả mạo mà có vẻ như được gửi bởi mộtngười nào đó Nhiều virus đã lợi dụng điểm này để lan truyền sang cácmáy tính khác Nhìn chung, không có cách gì chắn chắn rằng người gửiemail là người gửi thực sự - tên người gửi có thể dễ dàng làm giả

 Message Relay

Trang 18

nhận được một email gốc hợp lệ nhưng sau đó lại nhận được những tinnhắn giả mạo mà có vẻ như hợp lệ.

 Unprotected Backups

Thông điệp được lưu dưới dạng plain-text trên tất cả các server SMTP Vìthế các bản sao lưu của các server sẽ chứa bản copy thông điệp của bạn.Bản sao lưu có thể giữ trong nhiều năm và có thể đọc bởi bất kỳ người nào

có quyền truy cập Thông điệp của bạn có thể được đặt ở những nơi không

an toàn và bất kì ai cũng có thể lấy nó được, thậm chí sau khi bạn nghĩ làđã xóa tất cả email

 Repudiation

Bởi vì những thông điệp thông thường có thể bị giả mạo, do đó không cócách nào chứng minh rằng người nào đó có gửi cái thông điệp đó cho bạnhay không Nghĩa là thậm chí nếu một ai đó đã gửi cho bạn một thôngđiệp, họ hoàn tòan có thể chối bỏ Đây là một trong số những điểm hết sứccần lưu ý khi sử dụng email để thực hiện các hợp đồng, giao dịch kinhdoanh…

1.3 Nguy cơ về Spam mail

1.3.1 Giới thiệu về spam

1.3.1.1 Spam là gì?

Spam hay còn gọi là UBE (Unsolicited Bulk Email) Spam là những emailkhông được sự cho phép của người nhận (unsolicited email) được gửi đi vớisố lượng lớn tới hộp thư của người dùng internet Spam đôi khi cũng là nhữngemail thương mại không được sự cho phép của người nhận (UCE-UnsolicitedCommercial E-Mail) Spam làm tràn môi trường Internet bằng cách gửi đinhiều gói tin với cùng một nội dung, những gói tin này được truyền đến

Trang 19

những người mà họ không thể không nhận chúng.

1.1.1.1 Phân loại spam

Có hai loại spam chính, chúng có những ảnh hưởng khác nhau đến người dùngInternet:

 Usernet spam

Đây là dạng spam ta thường gặp trên các forum, một gói tin sẽ được gửiđến trên 20 newsgroup Qua quá trình sử dụng, người dùng đã thấy rằngbất kỳ một tin nào được gửi đến nhiều newgroup một lúc thường sẽ mangnhững thông tin không cần thiết Usernet spam cố gắng trở thành một “kẻgiấu mặt” – đọc thông tin trong các newsgroup nhưng ít khi hoặc khôngbao giờ post bài hay cho địa chỉ của mình Usernet spam chiếm quyền sửdụng của các newsgroup bằng cách làm tràn ngập các quảng cáo hoặcnhững bài viết không phù hợp Ngoài ra, Usernet spam có khi còn làm ảnhhưởng đến quyền điều khiển của quản trị hệ thống, chiếm quyền quản lýmột topic nào đó

 Email spam

Email spam nhắm đến người dùng riêng biệt trực tiếp qua các thư điện tử.Các spammer sẽ tiến hành thu thập địa chỉ mail bằng cách duyệt qua hòmthư Usernet, ăn cắp danh sách mail hay tìm kiếm trên web Đối với nhữnguser sử dụng dịch vụ điện thoại thì đồng hồ đo vẫn chạy trong khi họ nhậnhay đọc mail, chính vì vậy mà spam làm họ tốn thêm một khoản tiền Trênhết, các ISP và các dịch vụ trực tuyến (online services) phải tốn tiền đểchuyển các email – spam đi, những chi phí này sẽ được chuyển trực tiếpđến các thuê bao

Trang 20

bạn có một món hàng độc đáo cần bán ngay Nhưng làm sao để mọi ngườibiết? Trước hết bạn thông báo cho bạn bè bằng cách gửi email cho 100người nằm trong sổ địa chỉ của bạn Như thế bạn không mất một đồng nào

mà vẫn có thể gửi đi 100 email quảng cáo sản phẩm của mình Nếu cóngười biết để mua hàng thì bạn sẽ lời to Và bạn tự nhủ : "Tại sao mìnhkhông gửi email cho nhiều người khác nữa? Mình sẽ có thể thu đượcnhiều lợi nhuận hơn?” Rồi bạn sẽ tìm tòi ứng dụng các giải pháp để gửi điđược nhiều email cho cả những người bạn không quen biết hơn Vậy làbạn đã trở thành spammer

1.4 Tác hại của spam

Hầu hết các spam đều nhằm mục đích quảng cáo, thường cho những sản phẩm khôngđáng tin cậy hoặc những dịch vụ có vẻ như hợp pháp Tuy nhiên, không phải mọi vụgửi SPAM đều là nhằm mục đích quảng cáo thương mại Một số vụ gửi SPAM lạinhằm mục đích bất chính hoặc cũng có những kẻ gửi SPAM chỉ để bày tỏ quan điểmchính trị hoặc tôn giáo Hình thức gửi SPAM nguy hiểm nhất là hình thức gửi đinhững thông điệp để lừa người dùng tiết lộ thông tin tài khoản ngân hàng trực tiếp, sốthẻ tín dụng … - hay đây chính là một dạng phổ biến của lừa đảo trực tuyến

Do không có một cách thức hiệu quả nào để lọc spam nhận vào trước khi nó đượcnhận bởi server tại ISP cục bộ, ISP phải trả chi phí về băng thông cho các gói tin màhọ nhận

Theo thống kê của phần lớn các ISP thì họ thường bị spam chiếm khoảng 25-30%băng thông Spam làm tràn bộ đệm của người dùng với các mail quảng cáo, có thểlàm họ không nhận được các mail khác nếu bị tràn hộp mail Qua đó ta thấy spam đãsử dụng một lượng lớn tài nguyên mà không cần sự cho phép hay có bất kỳ một hànhđộng bồi thường thiệt hại nào, làm cho cộng đồng Internet phải tốn một chi phí đángkể

Trang 21

Những chi phí liên quan khi spam sẽ được trả bởi người nhận chứ không phải là từcác spammer Tài khoản của spammer sẽ bị hủy bỏ ngay khi ISP phát hiện ra nódùng để gửi spam, vì thế mà hầu hết các spam đều được gửi từ những tài khoản thửmiễn phí (Trial account) để không mất bất kỳ một chi phí nào.

Do hầu hết các ISP đều có một chính sách giới hạn tự động nhằm tránh sự lạm dụng

hệ thống của họ, các spammer sẽ chuyển gói tin sang các hệ thống ở các nước khác,chiếm thời gian xử lý và băng thông mà không cần hiểu rõ về các hệ thống đó

Theo báo cáo vào khoảng tháng 6 năm 2008 thì phần trăm spam trong tổng số emailtrên toàn thế giới có xu hướng tăng lên khá rõ Và tác hại do nó thì không thể đo haytính được, nhưng theo thống kê của Internet Week thì "50 tỉ USD mỗi năm" là số tiền

mà các công ty, tổ chức thương mại trên thế giới phải bỏ ra để đối phó với nạn thưrác đang hàng ngày tấn công vào hòm thư của nhân viên

Trang 22

2 Giải pháp bảo mật email và cơ chế phòng chống spam

1.5 Sử dụng chứng chỉ số

1.5.1 Giới thiệu về chứng chỉ số

Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân,một máy chủ, một công ty trên Internet Nó giống như bằng lái xe, hộ chiếu,chứng minh thư hay những giấy tờ xác minh cá nhân Để có chứng minh thư,bạn phải được cơ quan Công An sở tại cấp Chứng chỉ số cũng vậy, phải do mộttổ chức đứng ra chứng nhận những thông tin của bạn là chính xác, được gọi làNhà cung cấp chứng thực số (Certificate Authority, viết tắt là CA) CA phải đảmbảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mìnhcấp

1.5.2 Lợi ích khi sử dụng chứng chỉ số

2.1.1.1 Mã hoá

Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin Khi người gửiđã mã hoá thông tin bằng khoá công khai của bạn, chắc chắn chỉ có bạnmới giải mã được thông tin để đọc Trong quá trình truyền thông tin quaInternet, dù có đọc được các gói tin đã mã hoá này, kẻ xấu cũng không thểbiết được trong gói tin có thông tin gì Đây là một tính năng rất quan trọng,giúp người sử dụng hoàn toàn tin cậy về khả năng bảo mật thông tin.Những trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngânhàng, ngân hàng điện tử, thanh toán bằng thẻ tín dụng, đều cần phải cóchứng chỉ số để đảm bảo an toàn

2.1.1.2 Chống giả mạo

Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một email, có sửdụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị

Trang 23

thay đổi hay không Bất kỳ một sự sửa đổi hay thay thế nội dung của thôngđiệp gốc đều sẽ bị phát hiện Địa chỉ mail của bạn, tên domain đều có thể

bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus, ăn cắp thông tinquan trọng

Tuy nhiên, chứng chỉ số thì không thể làm giả, nên việc trao đổi thông tin

có kèm chứng chỉ số luôn đảm bảo an toàn

2.1.1.3 Xác thực

Khi bạn gửi một thông tin kèm chứng chỉ số, người nhận - có thể là đốitác kinh doanh, tổ chức hoặc cơ quan chính quyền - sẽ xác định rõ đượcdanh tính của bạn Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệthống chứng chỉ số mà bạn và người nhận cùng sử dụng, người nhận sẽbiết chắc chắn đó là bạn chứ không phải là một người khác.Xác thực làmột tính năng rất quan trọng trong việc thực hiện các giao dịch điện tửqua mạng, cũng như các thủ tục hành chính với cơ quan pháp quyền Cáchoạt động này cần phải xác minh rõ người gửi thông tin để sử dụng tưcách pháp nhân Đây chính là nền tảng của một Chính phủ điện tử, môitrường cho phép công dân có thể giao tiếp, thực hiện các công việc hànhchính với cơ quan nhà nước hoàn toàn qua mạng Có thể nói, chứng chỉsố là một phần không thể thiếu, là phần cốt lõi của Chính phủ điện tử

2.1.1.4 Chống chối cãi nguồn gốc

Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn vềnhững thông tin mà chứng chỉ số đi kèm Trong trường hợp người gửichối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳnghạn một đơn đặt hàng qua mạng), chứng chỉ số mà người nhận có được

Định dạng
Số trang	46
Dung lượng	1,78 MB

BÁO CÁO ĐỒ ÁN ỨNG DỤNG TRUYỀN THÔNG & AN NINH THÔNG TIN SECURE EMAIL

Mô hình của Gmail