Tiểu luận môn học an toàn, an ninh thông tin mã hóa dữ liệu và xác thực PGP (pretty good privacy)

Đối tượng tấn công mạng: Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mậttrên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp.. Cácđối tượng tấn c

TIỂU LUẬN MÔN HỌC

AN TOÀN, AN NINH THÔNG TIN

Đ ề tài:

MÃ HÓA DỮ LIỆU VÀ XÁC THỰC PGP

PRETTY GOOD PRIVACY

Gi ng ảng viên: H c viênọc viên :

TS Nguy n T n Khôi ễn Tấn Khôi ấn Khôi Phan H u Can ữu Can

Đoàn Hà H Quyên ạ Quyên

Đà N ng, tháng ẵng, tháng 03 năm 2015

MỤC LỤC

Chương 1 4

TỔNG QUAN AN TOÀN AN NINH THÔNG TIN 4

1 Nguy cơ đe dọa an ninh, an toàn thông tin 4

2 Một số khái niệm về An ninh thông tin 4

3 Giải pháp nâng cao an toàn, an ninh thông tin 5

Chương 2 6

MÃ HÓA VÀ XÁC THỰC PGP – PRETTY GOOD PRIVACY 6

1 Giới thiệu chung về PGP 6

2 Mục dích sử dụng PGP 6

3 Hoạt động của PGP 6

Chương 3 8

ỨNG DỰNG PGP MÃ HÓA, XÁC THỰC MAIL TRÊN THUNDERBIRD .8 1 Cài đặt phần mềm Mail Client Thunderbird: 8

2 Cài đặt phần mềm hỗ trợ mã hóa Enigmail trên Thunderbird: 12

3 Quản lý khóa: 13

3.1 Tạo khóa: 13

3.2 Tạo chứng chỉ thu hồi (Revocation Certificate): 15

3.3 Tạo Khóa bí mật và Khóa công khai: 16

3.4 Nhập Khóa công khai và Upload Khóa công khai lên Servers 18

3.5 Một số chức năng khác 19

4 Mã hóa và tạo chữ ký điện tử 20

4.1 Mã hóa: 20

4.2 Tạo chữ ký điện tử: 21

5 Giải mã: 23

Cùng với sự phát triển bùng nổ của Internet, an toàn thông tin là một vấn

đề nóng hổi của xã hội Nguy cơ mất an toàn thông tin do nhiều nguyên nhân,đối tượng tấn công đa dạng… Thiệt hại từ những vụ tấn công mạng là rất lớn,đặc biệt là những thông tin thuộc lĩnh vực kinh tế, an ninh, quốc phòng… Do

đó, việc tìm hiểu và áp dụng các công nghệ nhằm mã hóa, xác thực dữ liệu đểngăn chặn những truy cập trái phép trở thành nhu cầu cấp bách trong các hoạtđộng truyền thông

Sau khi được học môn An toàn an ninh thông tin do Thầy T Ngô TấnKhôi tận tình giảng dạy, với mong muốn tìm hiểu sâu hơn về các kiến thức củamôn học cũng như vận dụng các kiến thức đã học vào thực tế, nhóm báo cáogồm Phan Hữu Can và Đoàn Hà Hạ Quyên xin chọn đề tài cho tiểu luận kếtthúc môn học là “ Mã hóa dữ liệu và xác thực PGP (Pretty Good Privacy)”

Mặc dù đã cố gắng như do kiến thức và thời gian có hạn nên tiểu luận cũng chỉ dừng lại ở mức cơ bản, chưa đi sâu phân tích đầy đủ các vấn đề liên quan Nhóm báo cáo xin chân thành cảm ơn Thầy TS Nguyễn Tấn Khôi đã tận tình giảng dạy và giúp

đỡ để em hoàn thành tiểu luận này.

Chân thành cảm ơn.

Ch ương 1 ng 1

T NG QUAN AN TOÀN AN NINH THÔNG TIN ỔNG QUAN AN TOÀN AN NINH THÔNG TIN

1 Nguy cơ đe dọa an ninh, an toàn thông tin

Theo số liệu thống kê, Việt Nam đứng thứ 2 trong khu vực Đông Nam á

về các hoạt động tấn công mạng Thực tế, nguy cơ mất an ninh an toàn mạngmáy tính còn có thể phát sinh ngay từ bên trong Nguy cơ mất an ninh từ bêntrong xảy ra thường lớn hơn nhiều, nguyên nhân chính là do người sử dụng cóquyền truy nhập hệ thống nắm được điểm yếu của hệ thống hay vô tình tạo cơhội cho những đối tượng khác xâm nhập hệ thống

2 Một số khái niệm về An ninh thông tin

a Đối tượng tấn công mạng:

Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mậttrên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp Cácđối tượng tấn công mạng:

- Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụphá mật khẩu hoặc khai thác các điểm yếu của hệ thống

- Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh ngườidùng…

- Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắpthông tin

b Các lỗ hổng trong bảo mật:

Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công cóthể xâm nhập trái phép vào hệ thống Thông thường các loại lỗ hổng được phânlàm ba loại như sau:

- Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợppháp vào hệ thống, có thể phá huỷ toàn bộ hệ thống Lỗ hổng này thường có ởnhững hệ thống được quản trị yếu, không kiểm soát được cấu hình mạng máytính

- Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyềntrên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ lọt thông tin

- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS(Denial of Services-Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ,ngưng trệ gián đoạn hệ thống, nhưng không phá hỏng dữ liệu hoặc đoạt được

c Các hình thức tấn công mạng phổ biến:

- Scanner: Là một chương trình tự động rà soát và phát hiện những điểmyếu về bảo mật trên một trạm làm việc ở xa

- Password Cracker: Là một chương trình có khả năng giải mã mật khẩu

đã được mã hoá hoặc vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống

- Sniffer: Là các công cụ bắt các thông tin trao đổi trên mạng máy tính

- Trojans: Là một chương trình thực hiện không hợp lệ được cài đặt trênmột hệ thống

d Chính sách bảo mật:

Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những ngườitham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng

3 Giải pháp nâng cao an toàn, an ninh thông tin

Việc đảm bảo an ninh an toàn cho hệ thống dữ liệu ta có ba giải pháp chủyếu sau:

- Giải pháp về phần cứng

- Giải pháp về phần mềm

- Giải pháp về con người

Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệthống máy chuyên dụng, thiết lập trong mô hình mạng Giải pháp phần cứngthông thường đi kèm là hệ thống phần mềm điều khiển tương ứng

Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phầncứng Như các giải pháp: xác thực, mã hoá dữ liệu, mạng riêng ảo, hệ thốngtường lửa

Đảm bảo an ninh, an toàn thông tin phụ thuộc nhiều vào yếu tố conngười, do vậy cần phải đẩy mạnh công tác đào tạo, chế tài để định hướng người

sử dụng trong khai thác, sử dụng thông tin

Ch ương 1 ng 2.

MÃ HÓA VÀ XÁC TH C PGP – PRETTY GOOD PRIVACY ỰC PGP – PRETTY GOOD PRIVACY

1 Giới thiệu chung về PGP

Khái niệm: Mã hóa PGP là một phần mềm máy tính dùng để mật mã hóa

dữ liệu và xác thực Phiên bản PGP đầu tiên do Phil Zimmermann được công bốvào năm 1991 Kể từ đó, phần mềm này đã có nhiều cải tiến và hiện nay tậpđoàn PGP cung cấp phần mềm dựa trên nền tảng này

2 Mục dích sử dụng PGP

Mục đích sử dụng PGP là phục vụ cho việc mã hóa thư điện tử, phầnmềm mã nguồn mở PGP hiện nay đã trở thành một giải pháp mã hóa cho cáccông ty lớn, chính phủ cũng như các cá nhân Các ứng dụng của PGP được dùng

để mã hóa bảo vệ thông tin lưu trữ trên máy tính xách tay, máy tính để bàn, máychủ và trong quá trình trao đổ email hoặc chuyển file, chữ ký số…

3 Hoạt động của PGP

PGP sử dụng kết hợp mật mã hóa khóa công khai và thuật toán khóa đối

xứng cộng thêm với hệ thống xác lập mối quan hệ giữa khóa công khai và chỉ

danh người dùng (ID) Phiên bản đầu tiên của hệ thống này thường được biếtdưới tên mạng lưới tín nhiệm dự trên các mối quan hệ ngang hàng (khác với hệthống X.509 với cấu trúc cây dựa vào nhà cung cấp chứng thực số) Các phiênbản PGP về sau dựa trên các kiến trúc tương tự như hạ tầng khóa công khai

PGP sử dụng thuật toán mã hóa khóa bất đối xứng Trong hệ thống này,

người sử dụng đầu tiên phải có một cặp khóa: Khóa công khai và khóa bí mật.Người gửi sử dụng khóa công khai của người nhận để mã hóa một khóa chung(còn được gọi là khóa phiên) dùng trong các thuật toán mật mã hóa khóa đốixứng Khóa phiên này chính là chìa khóa để mật mã hóa các thông tin gửi qualại trong các phiên giao dịch Có rất là nhiều khóa công khai của những người

sử dụng PGP được lưu trữ trên mác máy chủ khóa PGP trên khắp thế giới

Người nhận trong hệ thống PGP sử dụng khóa phiên để giải mã các góitin Khóa phiên này cũng được gửi kèm với thông điệp nhưng được mật mã hóabằng hệ thống mật mã bất đối xứng và có thể tự giải mã với khóa bí mật củangười nhận Hệ thống phải sử dụng cả 2 dạng thuật toán để tận dụng ưu thế của

cả hai: thuật toán bất đối xứng đơn giản việc phân phối khóa còn thuật toán đốixứng có ưu thế về tốc độ

Một điều vô cùng quan trọng nữa là để phát hiện thông điệp có bị thayđổi hoặc giả mạo người gửi Để thực hiện mục tiêu trên thì người gửi phải kývăn bản với thuật toán RSA hoặc DSA Đầu tiên, PGP tính giá trị hàm băm củathông điệp rồi tạo ra chữ ký số với khóa bí mật của người gửi Khi nhận đượcvăn bản, người nhận tính lại giá trị hàm băm của văn bản đó đồng thời giải mãchữ ký số bằng khóa công khai của người gửi Nếu hai giá trị này giống nhau thì

có thể khẳng định là văn bản chưa bị thay đổi kể từ khi gửi và người gửi đúng làngười sở hữu khóa bí mật tương ứng

Trong quá trình mã hóa cũng như kiểm tra chữ ký, một điều vô cùng quantrọng là khóa công khai được sử dụng thực sự thuộc về người được cho là sởhữu của nó Nếu chỉ đơn giản download một khóa công khai từ đâu đó sẽ khôngđảm bảo được điều này PGP thực hiện việc phân phối khóa thông qua thựcchứng số được tạo nên bởi những kỹ thuật mật mã sao cho việc sửa đổi có thể

dễ dàng bị phát hiện Tuy nhiên chỉ điều này thôi thì vẫn chưa đủ vì nó chỉ ngănchặn được việc sửa đổi sau khi chứng thực được tạo ra Người dùng còn cầnphải trang bị khả năng xem xét khóa công khai có thực sự thuộc về người chủ

sở hữu hay không Từ phiên bản đầu tiên PGP đã có một cơ chế hỗ trợ điều nàyđược gọi là mạng lưới tín nhiệm Mỗi khóa công khai đều có thể được một bênthứ 3 xác nhận

OpenPGP cung cấp các chữ ký tin cậy có thể được sử dụng để tạo ra cácnhà cung cấp chứng thực số (CA) Một chữ ký tin cậy có thể chứng tỏ rằng mộtkhóa thực sự thuộc về một người sử dụng và người đó đáng tin cậy để ký xácnhận một khóa của mức thấp hơn Một chữ ký có mức 0 tương đương với chữ

ký trong mô hình mạng lưới tín nhiệm Chữ ký ở mức 1 tương đương với chữ

ký của một CA vì nó có khả năng xác nhận cho một số lượng không hạn chếchữ ký mức 0 Chữ ký ở mức 2 tương tự như chữ ký trong danh sách các CAmặc định trong Internet Explorer; nó cho phép người chủ tạo ra các CA khác

PGP cũng được thiết kế với khả năng hủy bỏ hoặc thu hồi các chứng thực

có khả năng đã bị vô hiệu hóa Điều này tương đương với danh sách thực chứng

bị thu hồi của mô hình hạ tầng khóa công khai Các phiên bản PGP gần đâycũng hỗ trợ tính năng hạn của thực chứng

Ch ương 1 ng 3

NG D NG PGP MÃ HÓA, XÁC TH C MAIL TRÊN THUNDERBIRD ỨNG DỰNG PGP MÃ HÓA, XÁC THỰC MAIL TRÊN THUNDERBIRD ỰC PGP – PRETTY GOOD PRIVACY ỰC PGP – PRETTY GOOD PRIVACY

1 Cài đặt phần mềm Mail Client Thunderbird:

http://www.mozilla.org/en-US/thunderbird/download/ Để downloadThunderbird về máy và tiến hành cài đặt

Chọn Next để tiếp tục

Ở trên hình có hai tùy chọn:

 Standard: Thunderbird sẽ cài đặt theo một chuẩn chung

 Custom: Tùy chọn này nói về những tùy chỉnh của người sử dụng Bạnnên chọn Custom

Sau đó bạn chọn Next để tiếp tục

Ở đây cho phép bạn chọn đường dẫn để lưu trữ chương trìnhThunderbird Mặc định là C:\Program Files (x86)\Mozilla Thunderbird Bạn cóthể thay đổi đường dẫn này tùy theo ý muốn

Tiếp theo bạn chọn Next

Ở bước này bạn chọn Install để tiến hành cài đặt Sau khi cài đặt xongThunderbird sẽ có cửa sổ sau

Để tạo một tài khoản mail bạn chọn Get a new mail account như trên hìnhvẽ

Cửa sổ Thiết lâp tài khoản thư hiện ra cho phép bạn điền các thông tincần thiết

Sau đó bạn chọn Continue để tiếp tục

Có hai tùy chọn để cấu hình Mail

 IMAP: Có thể thiết lập một mail account trên nhiều PC/Laptop một lúc

mà chúng ta có thể xem mail được tất cả IMAP chỉ lấy về các header của cácmail, khi nào cần mở thì IMAP mới lấy xuống từng email riêng biệt Nếu cácbạn check mail nhiều trên các thiết bị điện thoại hay laptop và bạn chủ yếu dùngweb mail hoặc muốn dùng điện thoại để đồng bộ thư thì hãy dùng IMAP Ở đâythì tôi dùng IMAP

 POP3: Với POP3, email của bạn sẽ được lưu trữ trên mailbox củaremote server cho đến khi bạn check mail, khi bạn check mail thì tất cả mailngay lập tức được download về máy tính và không còn lưu trữ trên server nữa.Nếu bạn đang dùng email client trên một máy thường xuyên hoặc một hòm mail

đồ sộ hãy dùng POP3 để kiểm soát được dung lượng hòm thư trên server

Sau đó chọn Done Quá trình tạo một tài khoản mail hoàn tất

2 Cài đặt phần mềm hỗ trợ mã hóa Enigmail trên Thunderbird:

Để cài đặt phần mềm mở rộng hỗ trợ mã hóa mail, Thunderbird đã tíchhợp phần mềm add-ons Enigmail Để cài đặt Enigmail bạn phải làm các bướcnhư sau: Bạn vào Tools → Add-ons

Cửa sổ Add-ons Manager hiện ra, ở thanh công cụ tìm kiếm add-ons bạn

gõ vào ký tự Enigmail để tìm kiếm phần mềm hỗ trợ:

Quá trình download Enigmail hoàn tất bạ chọn Restart now để khởi độnglại Thunderbird

Sau khi khởi động lại bạn sẽ thấy trên thanh Menu có thêm thành phầnEnigmail chứng tỏ bạn đã cài đặt thành công Enigmail

3 Quản lý khóa:

Chú ý: “OpenPGP sẽ cung cấp cho bạn hai khóa là Khóa công khai, SecretKey và chứng chỉ thu hồi Ngoài ra khi bạn tạo Khóa bí mật và mã hóa với RSAhoặc DSA sẽ yêu cầu nhập mật khẩu Passphrase, bạn chú ý rằng Passphrase nàyrất quan trọng, trong trường hợp bạn mất Passphrase thì không thể giải mã đượcthông điệp, Passphrase này buộc bạn phải ghi nhớ và một điều quan trọng nữa làPassphrase này phải được đặt đủ dài, đủ độ khó Đối với Khóa bí mật và chứngchỉ thu hồi bạn không nên lưu vào máy tính cài đặt mã hóa mail hiện tại mà nênback up vào một nơi nào đó bạn coi là an toàn, đủ tin cậy, tránh trường hợp mấtKhóa bí mật và chứng chỉ thu hồi Lúc đó hacker có thể lấy dùng các công cụgiải mã Passphrase để chiếm quyền Admin của bạn”

3.1 T o khóa: ạ Quyên

Để tạo khóa bạn vào Enigmail → Quản lý khóa cửa sổ Quản lý khóa củaEnigmail hiện ra

Bước 1: Vào Tạo ra → Cặp khóa mới

Bước 2: Bạn nhập các thông số cần thiết vào cửa sổ Tạo ra khóaOpenPGP

Account/User ID: Chính là tài khoản mail của bạn

Passphrase: Nhập mật khẩu của bạn Mật khẩu này có thể nhập hoặc

không, nếu mà bạn không muốn nhập thì tích vào ô No passphrase Nhưng bạn

nên nhập vào để đảm bảo an toàn thông tin, mật khẩu phải đủ độ dài và độ khó

Khuyến cáo đối với Passphrase: Để đảm bảo an toàn thông tin

Passphrase cũng giống như mật khẩu login vào một tài khoản nào đó của bạn,passphrase này chỉ cung cấp một lần Nếu như bạn mất Passphare thì bạn khôngthể sign messages hay giải mã tài liệu Passphare bắt buộc bạn phải nhớ,passphrase phải đủ dài, đủ độ khó như nên đặt với chữ hoa, chữ thường và số.Ngoài ra để thay đổi passphrase bạn có thể nhấp chuột phải vào private key củamình ở cửa sổ Quản lý khóa của Enigmail chọn Change passphrase

Khóa hết hạn: Mặc định của OpenPGP là 5 năm, bạn có thể thay đổi nó.

Nếu chọn Key does not expire thì thời hạn của key là không xác định và bạnkhông nên chọn Keys có thời hạn không xác định

Thẻ nâng cao: Để nói về kiểu mã hóa có hai kiểu mã hóa là DSA & EL

gamal và RSA Ở key size chính là số bít để mã hóa có 3 size là 1024, 2048,

4096 Ở OpenPGP cung cấp hai kiểu mã hóa bạn nên chọn RSA vì RSA đượcdùng để mã hóa và tạo chữ ký điện tử, còn DSA chủ yếu được dùng để ký chữ

ký điện tử Mặc định của của OpenPGP là dùng thuật toán RSA với key size là

2048

Khuyến cáo đối với thẻ nâng cao: Ở hai thuật toán mã hóa DSA và RSA

cung cấp 3 size để mã hóa dữ liệu, nếu bạn muốn gửi tài liệu trong một thờigian ngắn thì bạn nên chọn 1024 bits, nếu bạn dùng để gửi tài liệu trong vòng 1năm đến 2 năm bạn nên chọn 2048 bits Còn nếu bạn sử dụng keys từ 3 năm tới

5 năm bạn nên chọn mã hóa keys cao nhất là 4096 bits RSA được dùng phổbiến hơn DSA cho nên theo khuyến cáo bạn nên sử dụng thuật toán RSA để máhóa cho khóa của mình Nếu bạn chọn số bits càng cao thì quá trình tạo khóa cóthể mất tới vài phút để mã hóa dữ liệu

Quá trình tạo khóa hoàn tất khi bạn nhấn vào Tạo ra khóa.

3.2 T o ch ng ch thu h i (Revocation Certificate): ạ Quyên ứng chỉ thu hồi (Revocation Certificate): ỉ thu hồi (Revocation Certificate): ồi (Revocation Certificate):

Mục đích tạo chứng chỉ thu hồi khi bạn không sử dụng cặp khóa nữa hoặckhi bạn bị mất Khóa bí mật để thu hồi lại khóa bạn đã cấp

Để tạo chứng chỉ thu hồi bạn làm như sau: Bạn vào cửa sổ Quản lý khóa

của Enigmail bạn chọn Tạo ra → Chứng nhận thu hồi lúc đó cửa sổ Tạo & lưu chứng nhận thu hồi lại hiện lên cho bạn tạo và lưu chứng chỉ thu hồi.

Đuôi mở rộng của Chứng nhận thu hồi là “.asc” Đồng thời có một cửa sổ

Pinenty hiện lên yêu cầu bạn nhập Passphrase Bạn nhập Passphrase vào