Nghiên cứu các giao thức xác thực và thỏa thuận khóa cho mạng liên lạc không dây

PHẠM HOÀNG BÌNH NGHIÊN CỨU CÁC GIAO THỨC XÁC THỰC VÀ THỎA THUẬN KHÓA CHO MẠNG LIÊN LẠC KHÔNG DÂY Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60.48.01.04 LUẬN

PHẠM HOÀNG BÌNH

NGHIÊN CỨU CÁC GIAO THỨC XÁC THỰC VÀ

THỎA THUẬN KHÓA CHO MẠNG

LIÊN LẠC KHÔNG DÂY

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HÀ NỘI - 2015

PHẠM HOÀNG BÌNH

NGHIÊN CỨU CÁC GIAO THỨC XÁC THỰC VÀ

THỎA THUẬN KHÓA CHO MẠNG

LIÊN LẠC KHÔNG DÂY

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

Mã số: 60.48.01.04

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Người hướng dẫn khoa học: TS Nguyễn Ngọc Cương

HÀ NỘI - 2015

LỜI CAM ĐOAN

Tôi xin cam đoan kết quả đạt được của luận văn là sản phẩm của cá nhân tôi nghiên cứu, tổng hợp, không sao chép nguyên văn của người khác Trong toàn bộ nội dung của luận văn, những sản phẩm trình bày là nội dung của cá nhân tôi hoặc được tổng hợp từ nhiều tài liệu khác Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn đúng quy định

Tôi xin hoàn toàn chịu trách nhiệm với lời cam đoan của mình

Hà nội, tháng 10, năm 2015

LỜI CẢM ƠN

Đầu tiên tôi xin gửi lời cảm ơn tới các thầy, cô Trường Đại học Công nghệ, Đại học Quốc Gia Hà Nội đã tận tình giảng dạy và truyền đạt kiến thức trong suốt khóa học cao học vừa qua

Đặc biệt xin chân thành cảm ơn thầy giáo, TS.Nguyễn Ngọc Cương, người

đã định hướng đề tài, trực tiếp hướng dẫn và tận tình chỉ bảo tôi trong suốt quá trình thiết kế, xây dựng và hoàn thiện luận văn này

Tôi cũng xin được cám ơn những người thân, bạn bè đã thường xuyên quan tâm, giúp đỡ, chia sẻ kinh nghiệm, cung cấp các tài liệu hữu ích trong thời gian học tập, nghiên cứu cũng như trong suốt quá trình thực hiện luận văn tốt nghiệp

Hà nội, tháng 10, năm 2015

MỤC LỤC

LỜI CAM ĐOAN 1

LỜI CẢM ƠN 2

DANH MỤC CÁC HÌNH VẼ 5

DANH MỤC CÁC BẢNG 6

DANH MỤC CÁC KÍ HIỆU VIẾT TẮT 7

GIỚI THIỆU CHUNG 8

CHƯƠNG I NGHIÊN CỨU, TÌM HIỂU VỀ AN NINH CÁC HỆ THỐNG VÀ THIẾT BỊ LIÊN LẠC KHÔNG DÂY HIỆN NAY 10

1.1 Các mối đe dọa an ninh chung của một mạng 11

1.2 Các tấn công trong môi trường mạng không dây 11

1.2.1 Tấn công gây phiền toái 12

1.2.2 Tấn công mạo danh 13

1.2.3 Tấn công chặn 13

1.2.4 Tấn công lặp trở lại 13

1.2.5 Tấn công phiên song song 13

1.3 Các vấn đề về an toàn trong môi trường mạng không dây 14

1.3.1 Tính xác thực 14

1.3.2 Tính nặc danh 15

1.3.3 Khả năng dễ bị tổn thương của các thiết bị 16

1.3.4 Vượt ranh giới domain (miền) 17

CHƯƠNG II TÌM HIỂU MẬT MÃ ĐƯỜNG CONG ELLIPTIC 18

2.1 Giới thiệu chung về đường cong Elliptic 18

2.2 Một số vấn đề cài đặt của thuật toán Elliptic 21

2.2.1 Cài đặt đường cong Elliptic trên GF(p) 21

2.2.2 Cài đặt đường cong Elliptic trên GF(2n) 22

2.3 Các hệ mật đường cong Elliptic 23

2.4 Các thuật toán tính lô-ga-rít rời rạc trên đường cong Elliptic 27

2.5 Phương pháp tính chỉ số trên đường cong Elliptic 27

2.6 Thẻ thông minh (smart card) 28

CHƯƠNG III TÌM HIỂU MỘT SỐ GIAO THỨC XÁC THỰC VÀ THỎA THUẬN KHÓA CHO MẠNG CẢM BIẾN KHÔNG DÂY 31

3.1 Các giao thức xác thực – Nguyên lý chung 31

3.1.1 Xác thực và những khái niệm 31

3.1.2 Những kỹ thuật xác thực cơ bản 35

3.1.3 Giao thức xác thực trong WSN 39

3.2 Giao thức xác thực an toàn của Yeh và các cộng sự 41

3.2.1 Mô tả giao thức 42

3.2.2 Phân tích an toàn và hiệu suất 45

3.3 Giao thức xác thực của Shi và các cộng sự 46

3.3.1 Mô tả giao thức 47

3.3.2 Phân tích an toàn và hiệu suất 50

3.3.3 Điểm yếu an toàn trong giao thức của Shi và các cộng sự 52

3.4 Giao thức xác thực của Choi và các cộng sự 55

3.4.1 Pha đăng ký 56

3.4.2 Pha đăng nhập và xác thực 57

3.4.3 Pha cập nhật mật khẩu 60

CHƯƠNG IV PHÂN TÍCH, ĐÁNH GIÁ GIAO THỨC 62

4.1 So sánh hiệu suất 62

4.2 Phân tích an toàn và xác minh 63

4.2.1 Phân tích an toàn trực cảm 63

4.2.2 Xác minh logic Rubin 67

K ẾT LUẬN 75

TÀI LIỆU THAM KHẢO 76

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mô hình mạng cảm biến không dây

Hình 2.1 Quy tắc cộng trên đường cong Elliptic

Hình 3.1 Pha đăng ký trong giao thức của Shi

Hình 3.2 Pha đăng nhập và xác thực trong giao thức của Shi Hình 3.3 Pha cập nhật mật khẩu trong giao thức của Shi

Hình 3.4 Tấn công khóa phiên trong giao thức của Shi

Hình 3.5 Tấn công đánh cắp smart card trong giao thức của Shi Hình 3.6 Tấn công vét cạn năng lượng trên giao thức của Shi Hình 3.7 Pha đăng ký

Hình 3.8 Pha đăng nhập và xác thực

Hình 3.9 Pha cập nhật mật khẩu

DANH MỤC CÁC BẢNG

Bảng 3.1 Kích thước khóa ECC so với các sơ đồ mật mã khóa công khai khác Bảng 3.2 Các ký hiệu

Bảng 3.3 So sánh tính an toàn của các giao thức

Bảng 3.4 So sánh độ an toàn của các giao thức

Bảng 3.5 Các ký hiệu

Bảng 3.6 Độ an toàn và hiệu suất giữa giao thức của Shi và Yeh

Bảng 4.1 So sánh tính hiệu quả

Bảng 4.2 So sánh hiệu quả ước tính

Bảng 4.3 So sánh độ an toàn giữa các giao thức

Bảng 4.5 Đặc tả tập local cho phần tử chính Sn

Bảng 4.4 Đặc tả tập local cho phần tử chính U

Bảng 4.6 Đặc tả tập local cho phần tử chính GW

DANH MỤC CÁC KÍ HIỆU VIẾT TẮT

WSN (Wireless sensor networks): Mạng cảm biến không dây

ECDLP (the Elliptic Curve Discrete Logarithm Problem ): Bài toán lô-ga-rít rời

rạc trên đường cong Elliptic

ECCDHP (Elliptic Curve Computational Diffie-Hellman Problem): bài toán

Diffie – Hellman Elliptic

ECDDHP (Elliptic Curve Decisional Diffie-Hellman Problem): bài toán quyết

định Diffie – Hellman Elliptic

ECC (Elliptic Curves Cryptography): Mật mã đường cong Elliptic

ECDSA (The Elliptic Curve Digital Signature Algorithm): Thuật toán chữ ký số

Elliptic

GIỚI THIỆU CHUNG

Để có được an toàn đáng tin cậy cho hệ thống liên lạc không dây, phải có các biện pháp đảm bảo an ninh nhất định, ví dụ như tính bảo mật, tính xác thực

và tính nặc danh Người dùng và hệ thống máy chủ cần phải xác thực lẫn nhau

và thiết lập các khóa phiên để tiếp tục liên lạc

Đã có nhiều giao thức xác thực được đề xuất cho hệ thống liên lạc không dây, trong số đó có các giao thức cung cấp xác thực lẫn nhau và thỏa thuận khóa giữa người dùng và máy chủ với chi phí tính toán thấp Việc này rất quan trọng

vì các thiết bị liên lạc trong mạng không dây thường có nguồn năng lượng và khả năng xử lý bị hạn chế Ngoài đòi hỏi ít tính toán và tốn ít năng lượng, các giao thức cần phải có độ an toàn cao, có khả năng chống lại các tấn công thường gặp trong mạng không dây

Trong số các mạng không dây hiện nay, mạng cảm biến không dây là một trong số những thành tựu công nghệ mới đang thu hút nhiều sự quan tâm Các thiết bị cảm biến được phân tán rộng rãi để giám sát trong các điều kiện khác nhau như nhiệt độ, âm thanh, tốc độ và áp suất nhưng chúng bị giới hạn về khả năng tính toán và năng lượng Để giảm thiểu việc sử dụng tài nguyên của các thiết bị cảm biến và nâng cao tính an toàn của WSN, đã có rất nhiều các giao thức xác thực người dùng khác nhau được đề xuất

Có thể kể đến các giao thức xác thực người dùng sử dụng thuật toán RSA

và Diffie-Hellman, giao thức xác thực người dùng hiệu quả động (efficient dynamic) sử dụng hàm băm, giao thức xác thực người dùng hai nhân tố sử dụng thẻ thông minh Ngoài các ưu điểm đạt được về khả năng tính toán thì các giao thức này được chỉ ra những nhược điểm về an toàn Trong những phương pháp nghiên cứu gần đây, đã có một số tác giả tìm hiểu về phương pháp xác thực người dùng và thỏa thuận khóa cho mạng không dây nói chung và mạng cảm biến không dây nói riêng sử dụng mật mã đường cong Elliptic, tập trung vào việc khắc phục các nhược điểm về an toàn so với giao thức trước

2 Mục tiêu của luận văn

Với cơ sở thực tiễn trên, luận văn này đặt ra mục tiêu nghiên cứu các giao thức xác thực và thỏa thuận khóa cho mạng liên lạc không dây, cụ thể là mạng cảm biến không dây sử dụng mật mã trên đường cong Elliptic

Luận văn sẽ trình bày:

- Những yêu cầu an toàn đối với hệ thống liên lạc không dây, mạng cảm biến không dây

- Tìm hiểu mật mã đường cong Elliptic

- Nghiên cứu một số giao thức xác thực và thỏa thuận khóa cho mạng cảm biến không dây dựa trên mật mã đường cong Elliptic

3 Cấu trúc của luận văn

Luận văn được chia thành 4 chương với nội dung như sau:

Chương I: Nghiên cứu và tìm hiểu về an ninh các hệ thống và thiết bị liên lạc không dây hiện nay: Giới thiệu về an ninh hệ thống và các thiết bị liên

lạc trong mạng không dây, mạng cảm biến không dây, các tấn công thường gặp phải trong mạng không dây và những yêu cầu an toàn cần đạt được

Chương II: Tìm hiểu mật mã đường cong Elliptic: Tìm hiểu lý thuyết

chung về mật mã đường cong Elliptic và thẻ thông minh

Chương III: Tìm hiểu một số giao thức xác thực và thỏa thuận khóa cho mạng cảm biến không dây: Giới thiệu một số giao thức xác thực cho mạng

cảm biến không dây sử dụng mật mã đường cong Elliptic, phân tích ưu điểm và các điểm yếu an toàn

Chương IV: Phân tích đánh giá giao thức: So sánh hiệu suất giữa các

giao thức sử dụng mật mã đường cong Elliptic đã trình bày và phân tích tính bảo mật, xác minh

CHƯƠNG I NGHIÊN CỨU, TÌM HIỂU VỀ AN NINH CÁC HỆ THỐNG VÀ THIẾT BỊ LIÊN LẠC KHÔNG DÂY

HIỆN NAY

Mạng không dây sử dụng công nghệ cho phép hai hay nhiều thiết bị kết nối với nhau bằng cách sử dụng một giao thức chuẩn, không cần kết nối vật lý hay chính xác là không cần sử dụng dây mạng Môi trường kết nối không dây là không khí nên khả năng bị tấn công của người dùng là rất cao

Một trong những mạng không dây được nhắc đến nhiều trong thời gian gần đây là mạng cảm biến không dây (WSN), được phát triển và triển khai trong nhiều ứng dụng để giám sát trong các điều kiện khác nhau về nhiệt độ, âm thanh, tốc độ và áp suất như: theo dõi sự thay đổi của môi trường, khí hậu, giám sát các mặt trận quân sự, chuẩn đoán sự hỏng hóc của máy móc thiết bị, theo dõi và giám sát các bác sỹ, bệnh nhân, theo dõi và điều khiển giao thông, các phương tiện xe cộ

Các mạng cảm biến không dây (WSN) cung cấp một hệ thống giám sát thời gian thực khả thi (a feasible real-time monitoring system) Các thiết bị cảm biến không dây có thể dễ dàng được triển khai trong các môi trường khác nhau WSN

cơ bản bao gồm các người dùng (users), thiết bị cảm biến (sensors) và gateways

mà sự an toàn liên lạc của nó là mối quan tâm lớn trong các ứng dụng thế giới thực User và gateway có đủ tài nguyên để sử dụng trong hệ thống nhưng sensor lại khác Các sensor bị giới hạn về khả năng tính toán, dung lượng pin thấp, băng thông thấp và dung lượng bộ nhớ thấp

Hình 1.1 Mô hình mạng cảm biến không dây

Mạng cảm biến tuy có một vài thành phần khác so với các mạng không dây nhưng nó cũng gặp phải các vấn đề về an ninh hệ thống và thiết bị liên lạc như các mạng không dây bình thường khác [4]

1.1 Các mối đe dọa an ninh chung của một mạng

Môi trường mạng nói chung dễ nhạy cảm với một số các mối đe dọa an toàn như sau:

· Giả mạo: bằng phương pháp giả mạo, một thực thể có thể có được đặc quyền trái phép Trong một hệ thống mạng, một người sử dụng hoặc máy chủ giả mạo có thể đánh lừa bên nhận về định danh thật của nó

· Sử dụng trái phép tài nguyên: người dùng trái phép có thể truy cập hệ thống mạng và sử dụng các nguồn tài nguyên cho mục đích riêng của mình

· Tiết lộ trái phép và luồng thông tin trái phép: mối đe dọa này liên quan đến việc tiết lộ trái phép và luồng thông tin bất hợp pháp được lưu trữ, xử

lý và vận chuyển trong cả hệ thống mạng internal và external tới người dùng

· Thay đổi trái phép các nguồn tài nguyên và thông tin: việc thay đổi trái phép thông tin có thể xảy ra ở bên trong hệ thống và qua mạng Tấn công loại này có thể được sử dụng kết hợp với các tấn công khác, chẳng hạn như việc lặp lại, theo đó một tin nhắn hoặc một phần của tin nhắn được lặp đi lặp lại để cố ý tạo ra một ảnh hưởng trái phép Mối đe dọa này cũng

có thể liên quan đến việc giới thiệu trái phép, bao gồm việc loại bỏ các nguồn tài nguyên khỏi hoặc vào một hệ thống phân tán

· Sự chối bỏ của các hành động: đây là một mối đe dọa đối với trách nhiệm trong tổ chức Ví dụ, một cuộc tấn công chối bỏ có thể xảy ra bằng cách người gửi (hoặc người nhận) tin nhắn phủ nhận có gửi (hoặc nhận) các tin nhắn đó

· Sự từ chối trái phép của dịch vụ: kẻ tấn công sẽ từ chối các nguồn tài nguyên hoặc dịch vụ cho các thực thể được cho phép để sử dụng chúng Trong một mạng, các cuộc tấn công có liên quan đến việc chặn truy cập vào mạng bằng cách liên tục xóa hay tạo ra các thông điệp, làm mục tiêu cạn kiệt hoặc hòa vào những tin nhắn vô nghĩa

1.2 Các tấn công trong môi trường mạng không dây

Nhiều cuộc tấn công khéo léo đã được phát triển để làm ảnh hưởng giao thức bảo mật Nếu các cuộc tấn công thành công, có thể dao động từ một sự bất tiện nhẹ đến sự vi phạm nghiêm trọng về an ninh Ngay cả khi các cuộc tấn công không thành công họ có thể tiêu thụ các nguồn tài nguyên xử lý của bên bị tấn công và do đó làm giảm nguồn lực có sẵn cho liên lạc hợp pháp

Một vấn đề chung với liên lạc không dây là các cuộc tấn công phát sóng trên mạng rất khó để ngăn chặn Trong một mạng có dây, kẻ tấn công phải "tap" (thâm nhập) vào dây mạng Các biện pháp bảo đảm tiêu chuẩn có thể được thực hiện để giảm truy cập vào các dây mạng, chẳng hạn như xây dựng truy cập bị hạn chế hoặc khóa buồng liên lạc, và khi phát hiện và định vị một “tap”, nó có thể dễ dàng bị gỡ bỏ

Tính chất này không tồn tại trong một mạng không dây Bất kỳ một bên đang sở hữu các thiết bị phù hợp, có phải là một thành viên hợp pháp của mạng hay không đều có thể nhận và gửi tin nhắn trong mạng Khi những kẻ tấn công

bị phát hiện ra, sẽ rất khó để thanh lọc họ khỏi mạng vì họ có thể tự do dạo chơi trong khu vực không dây trong khi tấn công theo ý muốn

Các cuộc tấn công được mô tả dưới đây đặc biệt phiền hà trong liên lạc không dây vì chúng rất dễ thực hiện nhưng áp đặt không đáng kể về người sử dụng hoặc mạng không dây Các biện pháp khắc phục cho mỗi cuộc tấn công cũng sẽ được đưa ra

1.2.1 Tấn công gây phiền toái

Mối quan tâm chính của giao thức bảo mật là để bảo vệ chống lại tất cả các hình thức tấn công thành công Tuy nhiên, ngay cả khi một cuộc tấn công là cản trở, nó thường yêu cầu các thực thể hoặc các máy chủ tiêu tốn các tài nguyên xử

lý và liên lạc để phát hiện các cuộc tấn công Những cuộc tấn công này được gọi

là các cuộc tấn công gây phiền toái, bởi vì trong khi không thể làm tổn thương

an ninh, chúng có thể làm gián đoạn các hoạt động của người dùng hợp pháp Sự gián đoạn này có thể gây ra vấn đề nghiêm trọng trong một mạng không dây từ các thiết bị đầu cuối di động thường bao gồm tài nguyên xử lý tối thiểu

Do đó, kết quả là các cuộc tấn công có thể ảnh hưởng nghiêm trọng đến khả năng chính của mạng để thực hiện liên lạc hợp pháp Đáng lo ngại hơn là băng thông của liên lạc và chi phí Một cuộc tấn công gây phiền toái được đưa vào một mạng không dây có thể dẫn đến một số phản hồi không dây không cần thiết bị tiêu hao trước khi tin nhắn tấn công bị phát hiện là gian lận Thiết kế

giao thức nên cố gắng giảm thiểu khả năng hoặc ít nhất là tác động của tấn công gây phiền toái

1.2.2 Tấn công mạo danh

Bằng cách mạo nhận một người sử dụng hợp pháp, kẻ tấn công sẽ cố gắng loại bỏ một trong các bên liên lạc từ liên lạc có chủ định, làm cho các bên liên lạc khác tin rằng anh ta là hợp pháp Những kẻ tấn công có thể mạo danh các thực thể di động và có một khả năng tính toán cao, nó cũng có thể đóng vai trò như máy chủ Để tránh tấn công mạo danh, thiết kế giao thức nên xem xét việc xác thực lẫn nhau giữa các thực thể hợp pháp và máy chủ

1.2.3 Tấn công chặn

Trong liên lạc không dây, các tin nhắn liên lạc được truyền qua không khí, cho phép một người bất kỳ dễ dàng thâm nhập vào liên lạc mà không bị phát hiện, và có thể truy cập tất cả các tin nhắn liên lạc Trong môi trường không dây, không thể loại trừ tấn công chặn, nhưng bằng cách mã hóa tất cả các tin nhắn trong liên lạc có thể ngăn chặn những kẻ tấn công khỏi việc đạt được bất kỳ thông tin có giá trị nào

1.2.4 Tấn công lặp trở lại

Trong phương pháp này, kẻ tấn công chặn và lưu trữ tất cả thông tin giữa các bên liên lạc Sau đó, kẻ tấn công đóng vai một trong các bên liên lạc bằng cách phát lại các tin nhắn được lưu trữ Có thể chống lại các cuộc tấn công lặp trở lại bằng cách kết hợp các tham số biến đổi theo phiên trong các tin nhắn xác thực

1.2.5 Tấn công phiên song song

Kẻ tấn công bắt đầu liên lạc với một trong các bên liên lạc và sử dụng nó như một lời tiên đoán để tính các khóa phiên Phương pháp này là thành công nhất khi luồng tin nhắn giữa các bên giao tiếp có cấu trúc tương tự Những cuộc tấn công này có thể được ngăn chặn có hiệu quả bằng cách duy trì sự bất đối xứng trong các tin nhắn qua lại và bằng cách bao gồm các tham số phụ thuộc vào các luồng tin nhắn

Bird và các cộng sự đã xác định một dạng khác của tấn công tiên đoán, trong đó một kẻ thù bắt đầu hai phiên xác thực riêng biệt với máy chủ và người dùng Khi tương tác với máy chủ, nó sẽ trở thành người dùng và ngược lại Nó

cố gắng tận dụng lợi thế của các tin nhắn từ phiên xác thực với máy chủ để mạo

danh máy chủ trong phiên xác thực với người sử dụng Loại tấn công này có thể được ngăn chặn hiệu quả nếu mỗi lần chạy các giao thức sử dụng các dạng tin nhắn mã hóa khác nhau, hoặc liên kết logic với nhau

1.3 Các vấn đề về an toàn trong môi trường mạng không dây

1.3.1 Tính xác thực

Mục tiêu ban đầu của một tiến trình xác thực là để ngăn chặn người dùng trái phép khỏi việc đạt được quyền truy cập vào một hệ thống được bảo vệ Như với hệ thống phân tán hiện tại, thủ tục xác thực cần thiết cho cả việc xác minh định danh của một thực thể và người có quyền Độ tin tưởng cho một thực thể cụ thể phụ thuộc vào kết quả của quá trình xác thực này Lý tưởng nhất, xác thực người dùng nên được thực hiện minh bạch, không có sự gián đoạn đến nhiệm vụ hiện tại bất kỳ của người dùng Xác thực bảo vệ các nhà cung cấp dịch vụ khỏi xâm nhập trái phép Bằng cách xác thực lẫn nhau, trạm di động (thiết bị di động) cũng xác thực được máy chủ Có hai lý do tại sao điều này là quan trọng Đầu tiên, nó ngăn cản một trạm độc hại giả vờ là một trạm gốc Sau đó, nó cho phép trạm di động lựa chọn các dịch vụ của một trạm cơ sở với sự có mặt của các mạng kết hợp

Trong thực tế, hầu hết các giao thức xác thực yêu cầu cơ quan có thẩm quyền xác thực (hoặc máy chủ xác thực) để được liên lạc trong hoặc trước khi thực hiện các giao thức Thời gian hoàn thành mỗi giao thức phụ thuộc vào chất lượng của liên kết giữa các tên miền được truy cập và máy chủ xác thực chính của người dùng di động Hai yếu tố nữa là, chất lượng liên kết giữa các tên miền truy cập và máy chủ xác thực chính của người dùng và sự sẵn sàng của chính các máy chủ xác thực là không thể đoán trước và do đó không thể được đảm bảo

Việc sử dụng các chứng nhận có thể thỏa mãn các yêu cầu liên lạc với máy chủ xác thực chính của người dùng nhưng nó cũng có một số tính chất không mong muốn Thứ nhất, sẽ không hợp lý nếu giả sử rằng chứng chỉ uy tín được

ký chứng nhận trên toàn cầu và được tất cả các thực thể tin tưởng vô điều kiện Ngoài ra, người dùng di động có thể di chuyển qua các domain (miền) khác nhau và có thể không có kế hoạch trước Trong những trường hợp này, người dùng không thể có được chứng nhận cho domain chính của mình trên tất cả các domain khác mà anh ta truy cập, domain được truy cập cũng có thể không chấp nhận chứng nhận đó

Một vấn đề khác là chứng nhận không phản ánh trạng thái hiện tại của người sử hữu nó/ người mang nó (ví dụ, số dư hiện tại của một tài khoản ngân hàng hoặc hồ sơ về hành vi của một người trong lần truy cập domain trước đó)

Để nhúng một số thông tin về trạng thái hiện tại của người dùng vào chứng nhận bởi các máy chủ sẽ rất khó khăn và cũng không chắc chắn rằng người dùng không thay đổi thông tin đó hoặc chỉ trình ra các chứng nhận cung cấp các thông tin tích cực nhất Thu hồi chứng nhận sẽ cũng trở thành một vấn đề khó khăn hơn và nó liên quan với khả năng mở rộng, trong đó người dùng di động di chuyển thường xuyên, và vị trí của họ có thể là bất cứ nơi nào trên thế giới Giao thức xác thực có kỹ thuật tốt cho các hệ thống di động mang thêm gánh nặng cho các yêu cầu giấu tên Có một điều bắt buộc là các giao thức xác thực công khai càng ít thông tin liên quan đến các phần quan trọng tham gia trong việc thực hiện giao thức thì càng tốt

1.3.2 Tính nặc danh

Nặc danh là trạng thái không nhận dạng được trong một bộ các nguyên tắc Thông tin về một người hoặc một tổ chức cụ thể là riêng tư và chỉ nên được biết bởi người sử hữu nó và với bất cứ ai được cấp quyền truy cập bởi họ Nên bảo toàn sự riêng tư trong bất kỳ loại hệ thống thông tin nào, nó được cố định hoặc

di động Các loại thông tin mà một người dùng có thể muốn giữ riêng tư bao gồm định danh người dùng thật sự khi online (trực tuyến), vị trí hiện tại và mô hình hoạt động của anh ta Có nhiều lý do để việc bảo toàn nặc danh là mối quan tâm lớn trong hệ thống di động Các hệ thống di động dễ bị nghe trộm và khai thác hơn so với các mạng cố định, làm nó dễ dàng hơn để khai thác vào các kênh liên lạc và thu thập thông tin người dùng Vì người dùng di động, thông tin mới ngay lập tức trở thành có giá trị, chẳng hạn như thông tin chi tiết về sự chuyển động và vị trí của người dùng Điều này cũng có thể cung cấp manh mối cho bất

kỳ người dùng tương tác tại một thời điểm cho trước Người dùng cũng sẽ di chuyển vào và ra khỏi domain tại nước ngoài mà không có kiến thức trước, do

đó có thể không hoàn toàn đáng tin cậy Việc di chuyển trên các domain nước ngoài gây kết quả gia tăng nguy cơ lên thông tin người dùng Người thực hiện mạng hiện tại của hệ thống liên lạc di động lưu trữ rất nhiều người sử dụng có thông tin liên quan về cơ sở dữ liệu mạng, đặc biệt là cho các mạng viễn thông

di động Điều này được thực hiện giúp hỗ trợ tính di động người dùng cũng như việc thanh toán và xác thực, làm cho thông tin người dùng phổ biến rộng rãi hơn

và tính sẵn sàng cao Nó chưa chắc chắn liệu môi trường, nơi dữ liệu được lưu

trữ an toàn và đáng tin cậy Các các vấn đề sau đây cần được xem xét để giải quyết bài toán nặc danh:

· Ngăn chặn các bên khác khỏi việc tạo bất kỳ sự liên kết của người dùng với các tin nhắn mà họ gửi hoặc nhận được;

· Ngăn chặn bất kỳ sự liên kết nào của người dùng với phiên liên lạc mà trong đó họ có thể tham gia;

· Bảo toàn sự riêng tư của thông tin vị trí và chuyển động của người dùng;

· Ngăn chặn việc tiết lộ về mối quan hệ giữa người dùng và domain của họ;

· Ngăn chặn bất kỳ sự liên kết nào của người dùng với domain nước ngoài

mà họ đã truy cập;

· Không chấp nhận phơi bày các hoạt động của người dùng bằng cách ẩn mối quan hệ của họ với các domain đã truy cập

Người dùng có thể bị từ chối dịch vụ bằng các cơ chế khác nhau, thường là

do "cắt đứt" các kênh liên lạc giữa client (máy trạm) và server (máy chủ) hoặc

do ngập lụt mạng đến mức không đủ băng thông để sử dụng, làm cho mạng không thể vận hành có hiệu quả Với từ chối dịch vụ không chọn lọc, toàn bộ các dịch vụ hoặc phần lớn các bên tham gia của một mạng sẽ bị disable (bất lực) (ví dụ bằng cách sử dụng chất nổ) và thường có thể phát hiện Từ chối có chọn lọc ít thể hiện rõ ràng và các nạn nhân của nó là thường được xác định rõ (ví dụ, một client cụ thể trên mạng) Nặc danh là một giải pháp tất yếu cho vấn đề này Một giải pháp phổ biến đã được áp dụng cung cấp một số mức độ nặc danh trong các hệ thống hiện tại, bằng phương tiện là bí danh, hoặc một định danh tạm thời Alias (bí danh) hay nickname (biệt danh) cho phép một người dùng phải được tham chiếu mà không tiết lộ định danh thực sự của mình Một cách khác để cung cấp cho người dùng nặc danh là mã hóa các định danh thực sự

1.3.3 Khả năng dễ bị tổn thương của các thiết bị

Thiết bị di động được thiết kế để nhỏ gọn và có trọng lượng nhẹ, có thể xách tay Những tính năng này làm cho chúng có khả năng dễ bị tổn thương khi

bị thất lạc hoặc bị mất, tệ hơn là bị trộm cắp Mặc dù mất thiết bị vật lý là một kết quả không theo ý muốn, hậu quả có hại nhiều hơn là chủ sở hữu bị tước thông tin hoặc dữ liệu chứa trong thiết bị của mình Phần cứng có thể được mua lại, nhưng thông tin, đặc biệt là các loại được cập nhật thường xuyên, không thể xây dựng lại một cách dễ dàng Tệ hơn nữa, một số dữ liệu có thể chứa bí mật

mà thậm chí người sở hữu không biết

Các thiết bị di động cũng có thể được sử dụng như một thiết bị điều khiển

Ví dụ bao gồm dấu hiệu có hiệu lực (active badge) cho việc kiểm soát quyền truy cập vào các máy trạm và các lối vào xây dựng, thậm chí cả các thiết bị sử dụng khi mua hàng hóa hoặc rút tiền (tiền điện tử) từ máy ATM Nếu không có những thiết bị này, người sử dụng sẽ bị từ chối truy cập vào hầu hết các phương tiện và dịch vụ Hơn nữa, nếu thủ tục lấy một thiết bị thay thế các thiết bị loại này cần thời gian để xử lý, sự phát triển công nghiệp và xã hội của các chủ sở hữu thiết bị sẽ bị ảnh hưởng nghiêm trọng

Nếu thiết bị bị mất cắp, kẻ trộm có thể tước hết các tính năng an toàn trên các thiết bị sau đó có thể truy cập vào thông tin cá nhân chứa bên trong Kẻ trộm cũng có thể truy cập trái phép vào các dịch vụ có sẵn thông qua thiết bị đó trước khi bị phát hiện hành vi trộm cắp và bị thu hồi đặc quyền

1.3.4 Vượt ranh giới domain (miền)

Một domain (miền) an toàn bao gồm một tập hợp các thực thể mạng mà trên đó chỉ sử dụng duy nhất một chính sách an toàn bởi một người có quyền quản trị duy nhất Các ranh giới domain an toàn bị vượt qua khi một người dùng

di động di chuyển khỏi domain an toàn này để đến một domain khác

Khi tham gia vào một domain mới, sự tin cậy của các môi trường domain mới phải được người dùng xác định chắc chắn và ngược lại Điều này thường được thực hiện bằng cách sử dụng các giao thức xác thực lẫn nhau trong đó hai thực thể cùng xác thực lẫn nhau trong suốt quá trình thực hiện giao thức Điều quan trọng ở giai đoạn này là xác định độ tin cậy của domain và người dùng Mức độ tin cậy được tạo ra sẽ tạo cơ sở để đưa ra các hoạt động và quyết định

an toàn liên quan

Một động lực quan trọng với domain để sàng lọc các host truy cập là duy trì hình ảnh của nó như một domain an toàn Cũng giống như các miền địa lý (thành phố hay vùng ngoại ô), một môi trường thù địch sẽ có xu hướng bị xa lánh và những người cư trú của nó sẽ muốn di chuyển đến một nơi trú ẩn an toàn hơn Hậu quả sẽ làm sự vững mạnh của nền kinh tế miền đó bị sụp đổ, các hoạt động khác sẽ rơi vào tình trạng nguy hiểm

CHƯƠNG II TÌM HIỂU MẬT MÃ ĐƯỜNG CONG

ELLIPTIC

Năm 1985, Niel Koblitz và Victor Miller đã đề xuất hệ mật đường cong Elliptic (ECC) Về cơ bản ECC là một phương pháp dựa trên bài toán lô-ga-rít rời rạc trên các điểm thuộc đường cong Elliptic Kể từ đó, ECC đã thu hút sự chú ý từ các nhà toán học trên toàn thế giới, và đã được chứng minh là không có điểm yếu nào đáng kể trong thuật toán Mặc dù vẫn còn một số nghi ngờ về độ tin cậy của phương pháp này, nhưng gần đây đã có một số kỹ thuật mã hóa được phát triển bằng cách sử dụng các tính chất này [6]

Bất cứ khi nào các vấn đề mã hóa xuất hiện sẽ rất khó khăn để crack hoặc phá hủy, nó có nghĩa là kích thước khóa có thể được giảm đáng kể, đặc biệt là khi so sánh với kích thước khóa được sử dụng bởi hệ mật khác Điều này đã tạo một thách thức cho ECC so với RSA, một trong những phương pháp khóa công khai phổ biến nhất được biết đến ECC cung cấp độ an toàn tương đương với RSA nhưng có kích thước khóa nhỏ hơn nhiều ECC không chỉ cho phép giảm kích thước khóa mà còn cho phép hoạt động nhanh hơn Ngoài ra, ECC còn giúp giảm thiểu nguồn năng lượng xử lý

Chương này sẽ giới thiệu những kiến thức cơ bản về đường cong và hệ mật đường cong Elliptic [8]

2.1 Giới thiệu chung về đường cong Elliptic

Khi tính độ dài của một đoạn dây cung của đường cong Ellipse người ta phải đề cập tới một loại tích phân và tích phân này liền được mang tên là Elliptic

Hàm ngược của tích phân Elliptic là một hàm số lưỡng chu kỳ xác định trên trường số phức và cũng được mang tên là hàm Elliptic Các hàm lưỡng chu

kỳ γ này với các chu kỳ là độc lập trên trường số thực R thỏa mãn phương trình:

γ'2 = 4γ3 – g2γ – g3

Đối với các hằng số g2 và g3 nào đó Cặp (γ’, γ) sẽ là một điểm trong không gian và lời giải của phương trình nêu trên Những lời giải của phương trình này cho chúng ta một ánh xạ từ một hình xuyến (do γ là hàm lưỡng chu kỳ nên có thể coi như nó xác định trên một hình bình hành và chúng ta dán các cặp cạnh đối diện với nhau lại thì nó trở thành một hình xuyến trong không gian) vào một đường cong có dạng:

Y2 = 4X3 – g2X – g3

Đường cong đại số có dạng này được gọi là đường cong Elliptic là vì có xuất xứ như vậy

Trên trường số phức C phương trình đầy đủ của đường cong Elliptic gọi là phương trình Weierstrass có dạng:

Điều này cũng đúng với các trường hữu hạn có đặc số p > 3 Riêng đối với các trường có đặc số 2,3 thì dạng Weierstrass rút gọn của đường cong Elliptic có hơi khác đi một chút so với phương trình trên nhưng không ảnh hưởng gì đến những ứng dụng mật mã sau này

Đường cong Elliptic E là không kỳ dị nếu định thức của đa thức bậc ba ở phía bên phải của phương trình Weierstrass khác không Tức là 16(4a3+27b2) ≠

0

Đường cong Elliptic E với các điểm p(X,Y) cảm sinh một cấu trúc nhóm trên các điểm của nó với phép toán “cộng” theo quy tắc dây cung cát tuyến Điểm đơn vị trong nhóm này là điểm O(∞,∞) với các tọa độ nằm ở vô cùng Quy tắc cộng các điểm là như sau: Cho trước hai điểm P(X,Y) và Q(X,Y) thì điểm R(X,Y) được gọi là “tổng” của hai điểm kia nếu chúng ta kẻ cát tuyến

đi qua hai điểm này cắt đường cong Elliptic tại điểm thứ ba duy nhất -R(X,Y) vì

vế phải của phương trình Weierstrass rút gọn là một đa thức có bậc ba Chúng ta tìm được điểm R(X,Y) đối xứng với điểm -R(X,Y) qua trục hoành vì phương trình Weierstrass rút gọn của đường cong Elliptic là hàm chẵn theo tham biến Y

Hình 2.1 Quy tắc cộng trên đường cong Elliptic: P + Q = R

Phép “cộng” này cũng cần xem xét tới những trường hợp đặc biệt như điểm

ở vô cùng O(∞,∞) và khi hai điểm P(X,Y) và Q(X,Y) trùng nhau Kết quả của phép cộng một điểm với điểm ở vô cùng sẽ là chính điểm đó còn khi cộng hai điểm giống nhau thì cát tuyến đi qua hai điểm này trở thành tiếp tuyến tại một điểm

Người ta cũng có thể đưa ra các công thức hiển tính tọa độ của điểm tổng hai điểm cho trước Quy tắc cộng điểm này cũng mặc nhiên đúng khi đường cong Elliptic xác định trên các trường hữu hạn GF(q) với q = pn và p là số nguyên tố (n ≥ 1) và là đặc số của trường hữu hạn

Nhóm các điểm trên đường cong Elliptic E là một nhóm các giao hoán và không phải là một nhóm cyclic

Phép gấp n lần của một điểm P trên đường cong Elliptic E được định nghĩa một cách tự nhiên là tổng n lần của chính điểm P và có thể được viết là như sau:

R = nP = P + P + … + P

Một điểm P gọi là có bậc n (với n là một số tự nhiên) nếu nP = O

Bài toán lô-ga-rít rời rạc trên đường cong Elliptic (ECDLP): Cho trước một đường cong Elliptic E xác định trên trường hữu hạn GF(q) Giả sử P là một

điểm có bậc n và Q là một điểm khác của E Hãy xác định số nguyên l, 0 ≤ l ≤ n – 1 sao cho Q = lP nếu số nguyên l như vậy tồn tại

Ngoài ra còn hai bài toán liên quan nữa là bài toán Diffie – Hellman Elliptic (ECDHP) và bài toán quyết định Diffie – Hellman Elliptic (ECDDHP) Bài toán ECDHP: Cho trước điểm P, aP và bP trên E trên GF(q) Hãy tính abP trên E trên GF(q)

Rõ ràng bài toán này có thể giải được nếu bài toán ECDLP là giải được Bài toán ECDDHP: Cho trước P, aP và bP trên E trên GF(q) và cho trước điểm Q Î E Hãy xác định xem Q = abP hay không

Bài toán lô-ga-rít rạc trên đường cong Elliptic (ECDLP) trên trường hữu hạn GF(q) được sử dụng để xây dựng các thuật toán mật mã có độ an toàn cao nhất hiện nay vì chưa tìm được các thuật toán mật mã có thời gian tiểu hàm mũ tấn công được bài toán này

2.2 Một số vấn đề cài đặt của thuật toán Elliptic

Thường mật mã ứng dụng chỉ cài đặt các đường cong Elliptic với đặc số p

> 3 và p = 2 Trường hợp p > 3 thì chúng ta có trường hữu hạn GF(q) với q = p >

3 Còn trường hợp p = 2 thì chúng ta có trường hữu hạn GF(q) với q = pn với n >

1

2.2.1 Cài đặt đường cong Elliptic trên GF(p)

Chúng ta ngầm định rằng p > 3 và áp dụng phép thay thế sau đây:

(x,y) → , − Phương trình Weierstrass rút gọn của đường con Elliptic E có dạng:

E : Y2 = X3 + aX + b

Với a,b Î GF(p)

Định thức của đường cong Elliptic E là ∆ = -16(4a3 + 27b2) Đường cong Elliptic E là không kỳ dị khi ∆ ≠ 0

Công thức hiển của luật “cộng” nhóm là như sau : Cho hai điểm P1 = (x1,

y1) và P2 = (x2, y2) và điểm P3 = (x3, y3) là tổng của hai điểm đã cho thì : Nếu x1

≠ x2 chúng ta đặt : λ =

còn x1 = x2, y1 ≠ 0 chúng ta đặt : λ =

Nếu

P3 = (x3, y3) = P1 + P2 ≠ O thì x3 và y3 được tính như sau : x3 = λ2 – x1 – x2 và y3

Với a,b Î GF(q) và q = 3n, n ≥ 1 Đường cong Elliptic này là không siêu kỳ dị

và có định thức là ∆ = -a3b ( ngược lại khi a12 = -a2 đường cong Elliptic là siêu

kỳ dị và không được áp dụng trong mật mã)

Công thức hiển của luật “cộng” nhóm là như sau :

Chúng ta đặt : λ =

khi x1 ≠ x2 và λ =

nếu x1 = x2, y1 ≠ 0 và chúng ta nhận được :

Nếu P1 ≠ P2 thì x3 = λ2 – a – x1 – x2, y3 = (x1 – x3)λ – y1

Nếu P1 = P2 thì x3 = λ2 – a + x1, y3 = (x1 – x3)λ – y1.

2.2.2 Cài đặt đường cong Elliptic trên GF(2 n )

Áp dụng phép biến đổi sau đây đối với trường hợp a1 ≠ 0 :

(x,y) → + , +

Chúng ta nhận được phương trình Weierstrass rút gọn của đường con Elliptic trên trường GF(2n) có dạng như sau đây khi bất biến j = a112/ ∆ ≠ 0 ( trường hợp j = 0 tương ứng với a1 = 0 tương đương với trường hợp đường

cong Elliptic E là siêu kỳ dị cần phải tránh khi sử dụng trong mật mã và không được xét tới tại đây) :

E : Y2 + XY = X3 + a2X2 + a6

Với 0 ≠ a6 Î GF(q) và a2 Î {0, } với là phần tử cố định của GF(q) có vết Trql2( ) = 1 Vết này chiếu từ GF(q) xuống GF(2)

Nếu điểm P = (x, y) thì điểm –P = (x, x + y)

Luật “cộng” nhóm được thực hiện như sau : Với P1 = (x1, y1), P2 = (x2,

y2) thì P3 = (x3, y3) là tổng của hai điểm kia khi :

2.3 Các hệ mật đường cong Elliptic

Mục tiêu của mã hóa: Nói chung, một chương trình mã hóa tốt phải thỏa

mãn sự kết hợp của bốn mục tiêu sau:

· Xác thực: Cho phép người nhận thông tin xác định nguồn gốc của nó tức

là định danh của người gửi Điều này có thể được thực hiện thông qua một số thứ bạn biết hoặc bạn có Thường được cung cấp bởi kỹ thuật số chữ ký số

· Chống chối bỏ: đảm bảo rằng một bên tham gia liên lạc không thể phủ nhận tính xác thực của chữ ký của họ trên một tài liệu hay việc gửi một thông điệp có nguồn gốc từ họ.Thường được cung cấp bởi chữ ký số

· Tính toàn vẹn của dữ liệu: Một điều kiện mà trong đó dữ liệu không bị thay đổi hoặc bị phá hủy trong một cách thức không được cho phép Thường được cung cấp bởi chữ ký số

· Bảo mật: Giữ các dữ liệu liên quan trong một giao dịch điện tử được bí mật Thường được cung cấp bởi mã hóa [5], [7]

Về mặt nguyên tắc thì tất cả các thuật toán mật mã dựa trên bài toán rít rời rạc trên trường hữu hạn đều có thể chuyển lên đường cong Elliptic trên trường hữu hạn được

lô-ga-Muốn sử dụng được các thuật toán mật mã Elliptic thì công việc đầu tiên cần phải làm là phải ánh xạ được các thông báo lên tọa độ các điểm trên đường cong Elliptic vì các thuật toán mật mã Elliptic chỉ làm việc được với các điểm và tọa độ của chúng

Sơ đồ trao đổi khóa Elliptic: Trường hữu hạn GF(q) và đường cong

Elliptic E xác định trên trường hữu hạn này được công bố công khai Điểm P Î

E được công bố công khai P không nhất thiết phải là phần tử sinh của E nó cần phải có bậc lớn

(1) Alice chọn số nguyên dương a có độ lớn cùng cỡ với q và công bố công khai điểm aP Î E

(2) Bob chọn số nguyên dương b tương tự với cách làm của Alice và công

Hệ mật Elgamal Elliptic:

Chuẩn bị:

Công bố công khai GF(q), đường cong Elliptic E xác định trên GF(q) và điểm P Î E Alice chọn a và công bố công khai aP Î E Bob chọn a và công bố công khai bP Î E

Lập mã:

Để gửi thông báo M Î E đến Alice thì Bob chọn số nguyên dương k và gửi cho Alice (kP, M + k(aP))

Giải mã:

Alice muốn đọc thông báo M Î E thì tính kaP = a(kP) và sau đó tính M = (M + kaP) – kaP

Độ an toàn:

Rõ ràng muốn tính được M thì Alice phải hoặc tính được k hoặc tính được

a Do đó Malice phải đối mặt với bài toán ECDLP đối với kP và aP

Lập mã Massey-Omura:

(1) Alice và Bob thỏa thuận về đường cong Elliptic E trên trường hữu hạn GF(q) sao cho bài toán ECDLP là khó trên GF(q) và N là số điểm của E trên GF(q)

(2) Alice biểu diễn thông báo của mình là điểm M Î E

(3) Alice chọn số nguyên bí mật mA với điều kiện (mA,N) = 1 và tính M1 =

mAM và gửi M1 cho Bob

(4) Bob chọn số nguyên bí mật mB với điều kiện (mB,N) = 1 và tính M2 =

mBM1 và gửi M2 cho Bob

(5) Alice tính Î Zn và tính M3 = M2 và gửi M3 cho Bob

(6) Bob tính Î Zn và tính M4 = M3 và gửi M4 = M chính là thông báo Bob cần nhận được

Sơ đồ chữ ký số Elgamal Elliptic:

Chuẩn bị:

Alice chọn đường cong Elliptic E trên trường hữu hạn GF(q) sao cho bài toán ECDLP là khó trên E Alice cũng chọn điểm A Î E Thường thì bậc N của điểm A là một số nguyên tố lớn Alice cũng chọn số nguyên bí mật a và tính B =

aA Alice cũng chọn hàm:

f: E → Z Hàm f không cần có tính chất đặc biệt ngoại trừ ảnh của nó nên là lớn hơn

và chỉ có một số nhỏ các đầu vào có thể tạo ra một đầu ra bất kỳ đã cho Ví dụ: Nếu xét E trên GF(p) với p nguyên tố thì có thể lấy f(x,y) = x

Thông tin công khai của Alice là E, GF(q), f, A và B Alice giữ a bí mật, số nguyên tố dương N cũng không nên được công bố công khai

(3) Alice tính s ≡ k-1(m – af(R)) (mod N) và thông báo được ký là (m, R, s)

Vì rằng V1 = f(R)B + sR = f(R)aA + skA = f(R)aA + (m – af(R)) = mA =

V2 Chúng ta có sk ≡ m – af(R) (mod N) và do đó sk = m –af(R) + zN đối với một số nguyên z nào đó Bởi vậy skA = (m – af(R))A + zNA = (m – af(R))A +

phần tốn kém nhất, trong khi đó ECDSA chỉ đòi hỏi hai phép tính như vậy Cải tiến này là nâng cao hiệu quả của ECDSA một khi cần nhiều lần kiểm tra chữ ký

số và rât có giá trị trên thực tế

2.4 Các thuật toán tính lô-ga-rít rời rạc trên đường cong Elliptic

Thuật toán vét cạn:

Trong thuật toán này người ta tính P, 2P, 3P, 4P, … chừng nào đạt tới Q thì dừng lại Thời gian chạy của thuật toán trong trường hợp xấu nhất chính là N và đương nhiên là hàm mũ theo logN

Thuật toán bước lớn bước nhỏ

Thuật toán này đòi hỏi xấp xỉ √ bước và √ lưu trữ như sau đây:

(1) Cố định số nguyên m ≥ √ và tính mP

(2) Tạo ra và lưu trữ danh sách iP đối với 0 ≤ i < m

(3) Tính các điểm Q – jmp đối với j = 0, 1, …, m -1 chừng nào trùng hợp với một điểm trong danh sách thì dừng lại

(4) Nếu iP = Q – jmP thì chúng ta có Q = kP với k ≡ i + jm (mod N)

Thuật toán của Pollard:

Cũng giống như thuật toán bước lớn bước nhỏ, thuật toán này đòi hỏi √ bước tính toán

Trong một nhóm hữu hạn G có cấp N chúng ta chọn hàm f : G → G sao cho

nó cư sử một cách ngẫu nhiên Chúng ta xuất phát từ cặp điểm (Pi,P2i) với i = 1,

2, 3, … và tính Pi+1 = f(Pi), P2(i+1) = f(f(P2i)) cho đến khi nào đạt được Pi = P2i thì dừng lại

Thuật toán của Pollard:

Thuật toán này cũng có thời gian chạy là √ bước tính toán và nó sử dụng hàm f giống như trong thuật toán của Pollard nhưng nó có một số điểm xuất phát khác nhau P0(1), …, P0(r) Chúng ta thu được một dãy điểm được xác định như sau: Pi+1(1) = f(Pi(1)), 1 ≤ 1 ≤ r, i = 0, 1, 2, … và dừng lại khi có sự trùng khớp giữa hai điểm trong dãy tại bước j nào đó Pj(k) = Pj(h) với 1 ≤ k, h ≤ r Trong trường hợp 1 = 2 cư sử của thuật toán có hình dáng giống như chữ λ khi hai chân hội tụ về làm một và vì vậy mà nó mang tên chữ này

2.5 Phương pháp tính chỉ số trên đường cong Elliptic

Người ta rất muốn tìm một thuật toán tiểu hàm mũ để giải bài toán ECDLP

và rất tự nhiên người ta nghĩ đến phương pháp tính chỉ số và những biến thể có thể có của nó

Trên trường hữu hạn thì người ta có “độ đo” tính mịn của các phần tử rất tự nhiên khi đem phân rã chúng trên cơ sở phân tích gồm các số nguyên tố nhỏ hơn một cận B nào đó Còn đối với đường cong Elliptic thì “độ đo” này không mấy

tự nhiên

Người ta nghĩ ngay đến hàm độ cao của các điểm trên đường cong Elliptic khi nâng nó từ trường hữu hạn GF(P) lên trường hữu tỷ Q Rất tiếc là khi nâng đường cong Elliptic từ trường hữu hạn GF(P) lên trường hữu tỷ Q thì mật độ các điểm có hàm độ cao nhỏ rất thấp và càng ngày càng thưa tỷ lệ với bình phương khoảng cách từ gốc lưới nguyên trở đi

2.6 Thẻ thông minh (smart card)

Thẻ thông minh (smart card) là một thẻ nhựa có kích thước của một thẻ tín dụng được gắn một vi chip (microchip) có thể tải dữ liệu, được sử dụng để gọi điện thoại, thanh toán tiền điện tử, chăm sóc sức khỏe, định danh và một vài ứng dụng khác Có thể thấy rằng những ứng dụng đó là nơi thích hợp để sử dụng mã hóa và/hoặc chữ ký số Ngoài ra để smart card có thể được sử dụng trong thực

tế, chúng cần phải rẻ

Thực tế thì dữ liệu của smart card có thể được bảo vệ khỏi việc truy cập không được cho phép Vì vậy, smart card có thể chứa những dữ liệu nhạy cảm một cách an toàn Ví dụ dữ liệu nhạy cảm như là khóa bí mật được sử dụng để

ký hoặc giải mã Khóa bí mật có thể được bảo vệ bởi smart card vì nó không bao giờ tách rời smart card Smart card được coi như một công cụ mã hóa lý tưởng [7]

ECC được cho là phù hợp với smart card vì nó:

· Tốn ít bộ nhớ và thời gian truyền dẫn ngắn: Thuật toán ECDLP mang đến

độ an toàn cao với khóa tương đối nhỏ Khi khóa trở nên nhỏ hơn, bộ nhớ cần để lưu trữ khóa cũng nhỏ hơn và kết quả là cần ít dữ liệu truyền dẫn giữa thẻ và ứng dụng Vì vậy, thời gian truyền dẫn ngắn hơn

· Khả năng mở rộng: Ứng dụng smart card luôn đòi hỏi tính an toàn mạnh hơn để có thể đạt được khóa dài hơn Tuy nhiên, ECC có thể cung cấp tính an toàn với các tài nguyên hệ thống bổ sung ít hơn Điều đó có nghĩa

là với ECC, smart card có thể thể giữ chi phí của nó đồng thời cung cấp mức độ an toàn cao hơn

· Không có bộ đồng xử lý: ECC giảm nhiều thời gian xử lý bởi vì đặc tính của tính toán thực tế (đặc biệt trong trường hợp của GF(2k) không có phép modulo) Các hệ thống khác có một bộ đồng xử lý mật mã chuyên dụng (edicated crypto coprocessor) để thực hiện các phép toán Bộ đồng xử lý

có vấn đề vì tăng phạm vi và chi phí Tuy nhiên, trong trường hợp của ECC, thuật toán có thể được tiến hành trong CPU có sẵn mà không cần đến phần cứng bổ sung

· Việc sinh khóa trên thẻ: đối với việc chống chối bỏ, khóa bí mật phải được giữ bí mật và không thể tiếp cận với bất kỳ ai Trong hệ thống khóa công khai gần đây, các thẻ được cá nhân hóa (khóa có thể được tải hoặc đưa vào thẻ) trong một môi trường an toàn để đáp ứng vấn đề an toàn này Bởi vì sự đòi hỏi phức tạp của các tính toán, việc sinh các khóa trên thẻ là không hiệu quả và không thực tế Với ECC, thời gian để sinh ra một khóa

là rất ngắn và có thể được thực hiện với một nguồn tính toán có hạn của smart card, được cung cấp một bộ sinh số ngẫu nhiên tốt có sẵn Có nghĩa

là quá trình cá nhân hóa thẻ có thể hiệu quả hơn cho các ứng dụng mà việc chống chối bỏ là quan trọng

Các lựa chọn tiến hành ECC cho smart card:

Nhìn chung, việc sử dụng GF(2k) mang đến thuận lợi đáng kể về hiệu suất

so với GF(p) Lý do là sự tồn tại của phép modulo trong trường hợp GF(p) Điều này đúng đối với smart card dung lượng 8 bit chi phí thấp không có bộ đồng xử

lý mật mã Để đạt được hiệu suất tương đương với GF(2k) thì cần bộ đồng xử lý

Bộ đồng xử lý thêm vào này làm tăng chi phí của mỗi chip lên từ 20% - 30% nghĩa là thêm khoảng 3 - 5 đô la vào chi phí của mỗi thẻ Với GF(2k), một smart card rẻ hơn bởi vì không cần đến bộ đồng xử lý

Trong môi trường có sẵn bộ xử lý toán học, hiệu suất của GF(p) có thể được cải thiện để trong một số trường hợp nó vượt quá hiệu suất của GF(2k) Điều này đúng cho nền tảng với bộ đồng xử lý mật như là một số dạng smart card Nếu bộ đồng xử lý mật có sẵn ở smart card hoặc chi phí không phải là vấn

đề thì GF(p) mang đến nhiều lợi ích về hiệu suất hơn cả GF(2k) được thực hiên

mà không cần đến phần cứng chuyên dụng

Thêm vào đó, việc nén điểm cho phép các điểm trên đường cong Elliptic được biểu diễn với số bit dữ liệu ít hơn Trong việc tiến hành smart card, việc nén điểm là cần thiết vì nó không chỉ giảm dung lượng lưu trữ cho khóa trên thẻ

mà còn giảm số lượng dữ liệu cần thiết để truyền dẫn đến thẻ và từ thẻ đi Nó có

thể được hoàn thành với các tính toán không đáng kể sử dụng GF(2k) nhưng nó

có thể ảnh hưởng đến việc thực hiện GF(p) một cách đáng kể Việc tiến hành

phần cứng GF(2k) mang đến hiệu suất đáng kể và lợi ích kích thước phạm vi so

với việc tiến hành phần cứng GF(p) Smart card đòi hỏi nhiều dịch vụ mã hóa

khác nhau với hiệu suất cực kỳ nhanh yêu cầu các bộ đồng xử lý mã hóa Những

bộ đồng xử lý mật đang tồn tại được tối ưu hóa cho toán học modulor cần thiết

trên GF(p) không làm tăng đáng kể hiệu suất của GF(p) Bộ đồng xử lý được

thiết kế để tối ưu hóa GF(2k) sẽ chiếm ít ít dung lượng và chi phí trên smart card

và sẽ mang đến hiệu suất cao hơn so với việc tiến hành GF(p)

CHƯƠNG III TÌM HIỂU MỘT SỐ GIAO THỨC XÁC THỰC VÀ THỎA THUẬN KHÓA CHO MẠNG CẢM BIẾN

Khái niệm giao thức có thể được chia ra làm ba khái niệm con: Xác thực nguồn gốc dữ liệu, xác thực thực thể và thiết lập khóa được xác thực Khái niệm con đầu tiên quan tâm đến kiểm tra tính hợp lệ của tính chất được yêu cầu thông báo, khái niệm con thứ hai chú ý hơn đến kiểm tra tính hợp lệ của thực thể truyền tính chất được yêu cầu của thông báo và khái niệm con thứ ba nhằm xa hơn để đưa ra một kênh truyền an toàn đối với một phiên liên lạc an toàn mức ứng dụng tiếp sau đó [8]

3.1.1.1 Xác thực nguồn gốc dữ liệu

Xác thực nguồn gốc dữ liệu cũng còn được gọi là xác thực thông báo liên quan gần với nguyên vẹn dữ liệu Những tài liệu về mật mã và an toàn thông tin coi hai khái niệm này không có sự khác biệt căn bản Cách nhìn này dựa trên sự cho rằng sử dụng thông tin đã bị sửa đổi một cách hiểm độc cũng rủi ro giống như sử dụng thông tin không rõ nguồn gốc

Tuy vậy, xác thực nguồn gốc dữ liệu và nguyên vẹn dữ liệu là hai khái niệm rất khác nhau Chúng có thể được phân biệt rõ ràng thông qua một số khía cạnh

Thứ nhất, xác thực nguồn gốc dữ liệu cần phải bao gồm những liên lạc Đó

là một dịch vụ an toàn với thực thể nhận thông báo để kiểm tra xem thông báo

có phải đến từ nguồn được yêu cầu hay không Nguyên vẹn dữ liệu không cần đến đặc tính dữ liệu: dịch vụ an toàn có thể được cung cấp ngay trên dữ liệu được lưu trữ

Thứ hai, xác thực nguồn gốc dữ liệu cần phải bao gồm sự nhận biết nguồn gốc của thông báo trong khi nguyên vẹn dữ liệu không cần làm như vậy Chúng

ta đã có một ví dụ thuyết phục rằng nguyên vẹn dữ liệu với tư cách là một dịch

vụ an toàn có thể được cung cấp không cần nhận biết nguồn gốc thông báo Chúng ta có thể đặt ra câu “Nguyên vẹn dữ liệu chống lại ác ý” để gán nhãn cho dịch vụ nguyên vẹn dữ liệu với tính chất như vậy Chúng ta cần nhớ rằng theo quy định của chúng ta trước đây, ác ý là nhân vật chính giấu mặt mà định danh của nó có ít nhất những gì cần làm đối với một nguồn đáng tin cậy của thông báo Chúng ta sẽ nhận ra rằng “Nguyên vẹn dữ liệu chống lại ác ý” là cơ chế chung để đạt được những hệ mật khóa công khai an toàn chứng minh được Thứ ba và có ý nghĩa hơn cả là xác thực nguồn gốc dữ liệu bao gồm sự thiết lập tính tươi của thông báo trong khi đó nguyên vẹn dữ liệu lại không cần làm như vậy: một đoạn cũ cũng có thể có tính nguyên vẹn hoàn hảo Để đạt được dịch vụ xác thực nguồn gốc dữ liệu, thực thể nhận thông báo nên kiểm tra xem thông báo đã được gửi đủ hiện thời hay không (tức là khoảng thời gian giữa phát và thu thông báo là đủ nhỏ) Thông báo được cho là được phát đủ hiện thời bởi thực thể nhận thường được nói đến như một thông báo tươi Đòi hỏi rằng thông báo phải là tươi suy ra từ ý nghĩa chung là thông báo tươi hàm ý sự phù hợp tốt giữa những thực thể liên lạc và điều này có thể ngụ ý tiếp trong hoàn cảnh khi những thực thể liên lạc, máy móc, những hệ thống hay thông báo tự chúng đã không bị phá hoại Chúng ta có thể thấy tấn công giao thức xác thực khóa đối xứng Needham-Schroeder của Denning và Sacco trong đó thông báo

cũ được diễn lại có tính nguyên vẹn dữ liệu hợp lệ tuyệt đối nhưng không có tính xác thực hợp lệ Sự không xác thực được trong dạng này có thể được nói đến như tính nguyên vẹn dữ liệu hợp lệ không thực hiện được của nguồn thông báo

Nhận xét rằng, vấn đề thông báo có tươi hay không cần được xác định bởi những ứng dụng Một số ứng dụng đòi hỏi khoảng thời gian ngắn hơn để cho thông báo là tươi là trong khoảng vài giây (như trong nhiều thách đố-giải đố dựa trên những ứng dụng liên lạc an toàn thời gian thực) Một số ứng dụng cho phép chu kỳ tươi dài hơn Ví dụ, trong đại chiến thế giới thế giới hai, những liên lạc quân sự Đức được lập mã bởi máy mã Enigma nổi tiếng đã quy định một luật lệ

là mỗi ngày tất cả các máy mã Enigma phải được đặt “khóa ngày” mới Luật lệ

này đã trở thành nguyên tắc quản lý khóa được sử dụng rộng rãi đối với nhiều hệ thống an toàn hiện nay mặc dù “khóa ngày” đã được thay bằng “khóa giờ” hoặc thậm chí “khóa phút” Một số ứng dụng khác cho phép khoảng thời gian kéo dài hơn nhiều đối với tính tươi của thông báo Ví dụ, séc ngân hàng có thể qua được những sát hạch thông qua tính nguyên vẹn và nhận biết nguồn của nó: sau đó là tính hợp lệ của nó “xác thực” để tín nhiệm sự thanh toán nên được xác định bởi tuổi của séc tức là khoảng thời gian giữa ngày phát hành séc và ngày chi trả séc

Đa số các ngân hàng cho phép ba tháng như là tuổi của séc

Cuối cùng chúng ta chỉ ra rằng một sự xác nhận nặc danh nào đó bởi một

số sơ đồ mật mã (ví dụ chữ ký mù) cũng cung cấp sự phân biệt tốt giữa xác thực nguồn gốc dữ liệu và nguyên vẹn dữ liệu Người sử dụng có thể được phát cho một sự xác nhận nặc danh có thể làm cho người giữ đạt được dịch vụ bằng cách cung cấp tư cách thành viên của hệ thống một cách nặc danh Nhận xét rằng tại đây bằng chứng nguyên vẹn dữ liệu, thậm chí có thể được trình diễn bằng cách tương ứng sống động, tuy nhiên hệ thống được ngăn chặn chống lại việc thực hiện nhận biết nguồn

Từ những thảo luận trên chúng ta có thể đặc trưng khái niệm xác thực nguồn gốc dữ liệu như sau:

i Bao gồm việc truyền thông báo từ nguồn được yêu cầu (thực thể truyền) đến thực thể nhận nơi kiểm tra tính hợp lệ của thông báo sau khi nhận được

ii Kiểm tra tính hợp lệ của thông báo được tiến hành bởi thực thể nhằm thiết lập định danh của thực thể truyền thông báo

iii Kiểm tra tính hợp lệ cũng nhằm thiết lập tính nguyên vẹn dữ liệu của thông báo theo sau sự khởi hành của nó từ thực thể truyền

iv Kiểm tra tính hợp lệ còn nhằm thiết lập tính sống của thực thể thông báo

3.1.1.2 Xác thực thực thể

Xác thực thực thể là một quá trình liên lạc hay giao thức mà qua nó một thực thể thiết lập sự tương ứng sống với một thực thể khác mà định danh yêu cầu của anh ta nên đáp ứng được điều cần tìm bởi thực thể thứ nhất Thường là

từ “thực thể” được bỏ đi như trong câu “mục đích quan trọng của giao thức xác thực là thiết lập sự tương ứng sống của một thực thể”

Thường thì một định danh yêu cầu trong giao thức là một thông báo giao thức theo lẽ tự nhiên của nó Trong hoàn cảnh như vậy, sự tin về định danh yêu cầu và về tính sống của người yêu cầu có thể được thiết lập bằng việc áp dụng những cơ chế xác thực nguồn gốc dữ liệu Thực vậy như chúng ta thấy trong nhiều trường hợp trong chương trình này đối với định danh yêu cầu đang trong

vị trí của thông báo giao thức, xem nó như là chủ thể của xác thực nguồn gốc dữ liệu tạo ra một cách tiếp cận mong muốn cho xác thực thực thể

Chúng ta có một số kiểu kịch bản xác thực thực thể trong các hệ thống phân tán phụ thuộc vào nhiều cách khác nhau để phân loại những thực thể Xin liệt kê một số kịch bản thông thường chứ không phải là tất cả những kịch bản

3.1.1.3 Thiết lập khóa có xác thực

Thường thì những bên liên lạc thực hiện giao thức xác thực, thực thể là cách để tự mồi cho những liên lạc an toàn khác tại mức ứng dụng hoặc cao hơn Trong mật mã hiện đại, những khóa mật mã sẽ là cơ sở cho những kênh liên lạc

an toàn Bởi vậy những giao thức xác thực thực thể để mồi cho những liên lạc an toàn mức ứng dụng hay cao hơn thường đặc trưng cho một tác vụ con của thiết lập khóa có xác thực hay trao đổi khóa hay thỏa thuận khóa

Như trong trường hợp khi xác thực thực thể có thể được dựa trên xác thực nguồn gốc dữ liệu theo định danh của người yêu cầu, trong những giao thức để thiết lập khóa có xác thực thông tin thiết lập khóa cũng tạo thành những thông báo giao thức quan trọng chúng nên trở thành chủ thể đối với xác thực nguồn gốc dữ liệu

Trong những tài liệu thì những giao thức xác thực thực thể thiết lập khóa xác thực, những giao thức thỏa thuận khóa, trao đổi khóa, những giao thức an toàn hay đôi khi thậm chí là những giao thức mật mã thường nói đến cùng một tập của những giao thức liên lạc

3.1.1.4 Những tấn công lên các giao thức xác thực

Vì mục đích của giao thức xác thực dù là thiết lập khóa hay thực thể hay nguồn gốc dữ liệu là thiết lập một tính chất yêu cầu, những kỹ thuật mật mã là chắc chắn được sử dụng Chắc chắn nữa là mục đích của giao thức xác thực sẽ khớp với phản mục đích: tấn công Tấn công lên giao thức xác thực bao gồm kẻ tấn công và liên minh của chúng (những ai mà chúng ta gọi chung là Malice) đạt được lợi ích không đáng hưởng Lợi ích như vậy có thể là rất nghiêm trọng chẳng hạn Malice đạt được thông báo bí mật hay khóa hay ít nghiêm trọng hơn

chẳng hạn như Malice lừa dối thành công đối với một thực thể để thiết lập một niềm tin sai về một tính chất yêu cầu Nói chung giao thức xác thực được coi là không hoàn thiện nếu thực thể kết luận về sự thực nghiệm bình thường của giao thức đối với thực thể liên lạc có chủ ý của anh ta trong khi thực thể có chủ ý lại

có kết luận khác

Chúng ta phải nhấn mạnh rằng những tấn công lên những giao thức xác thực chủ yếu là những tấn công không liên quan với sự phá vỡ những thuật toán mật mã phía dưới Thường là những giao thức xác thực là không an toàn không phải do những thuật toán mật mã phía dưới mà chúng sử dụng là yếu mà do những khiếm khuyết thiết kế giao thức cho pháp Malice phá vỡ mục đích xác thực mà không cần phải phá vỡ bất kỳ thuật toán mật mã nào Vì lý do đó trong phân tích những giao thức xác thực chúng ta thường giả thiết rằng những thuật toán mật mã phía dưới là “hoàn hảo” mà không cần xét đến yếu điểm có thể có của chúng Những yếu điểm đó thường được xét đến trong những chủ để khác của mật mã

3.1.2 Những kỹ thuật xác thực cơ bản

Có nhiều kỹ thuật khác nhau dựa trên giao thức để hiện thực hóa xác thực

và thiết lập khóa có xác thực nhưng những kiến thức giao thức cơ bản, đặc biệt

là những kiến thiết tốt lại là thống nhất Những kỹ thuật xác thực cơ bản là:

3.1.2.1 Tính tươi của thông báo và tính sống của thực thể

Dường như là thông báo có tươi hay không là một phần cần thiết của xác thực nguồn gốc dữ liệu và cả trong trường hợp xác thực thực thể khi thực thể quan tâm đến sự tương ứng sống của bên liên lạc chủ ý Bởi vậy những cơ chế thiết lập tính tươi của thông báo và tính sống của thực thể là những thành phần

cơ bản nhất trong những giao thức xác thực

Những cơ chế chuẩn và cơ bản để đạt được những chức năng này sẽ được

mô tả như sau, cho Alice đứng trên vị trí của người yêu cầu theo tính chất ( ví dụ

là tính khỏe cho cô ta hay tính tươi theo thông báo) và Bob đứng trên vị trí của người kiểm tra theo tính chất yêu cầu Chúng ta giả thuyết rằng Alice và Bob chia sẻ khóa bí mật KAB nếu cơ chế sử dụng những kỹ thuật mật mã đối xứng hoặc Bob biết khóa công khai của Alice thông qua khung chứng nhận khóa công khai nếu cơ chế sử dụng những kỹ thuật mật mã phi đối xứng

Các cơ chế tem thời gian:

Trong cơ chế tem thời gian Alice thêm thời gian hiện tại vào sự tạo thành trong thông báo của cô liên quan đến biến đổi mật mã sao cho thời gian hiện tại được tích hợp mật mã với thông báo của cô

Giả sử TA ký hiệu tem thời gian được tạo ra bởi Alice khi cô tạo ra thông báo của cô Cơ chế làm tươi thông báo này có khuôn dạng không tương tác sau đây

(1) Alice → Bob: (M, TA);

(2) Bob giải mã khúc bản mã và { ừ ố ườ ợ ượ ạ ấ ậ ế ườ ư à ợ ệGiải mã ở đây được thực hiện bởi Bob cũng cần được kiểm tra đối với sự đúng đắn của tính nguyên vẹn dữ liệu Sau khi giải mã Bob có thể so sánh TA

nhận được với thời gian của chính anh ta với giả thiết rừng những người tham gia giao thức sử dụng thời gian chuẩn toàn cầu như là GMT chẳng hạn Nếu sự khác nhau về thời gian đủ nhỏ cho phép bởi ứng dụng trong suy nghĩ của Bob thì thông báo M dường như là tươi

Tem thời gian tránh được sự cần thiết phải tương tác vì vậy thích hợp cho những ứng dụng thư điện tử Sự bất tiện của cơ chế tem thời gian là việc đồng

bộ hóa đồng hồ thời gian cần được đòi hỏi và phải duy trì được sự an toàn Điều này là khó Những khó khăn, đề phòng và từ chối tem thời gian đã xảy ra nhiều trên thực tế

Trong kiến thiết giao thức cơ bản thời khắc và tem thời gian là những thành phần đặc biệt của thông báo Chúng đóng vai trò nhận biết tính tươi của những thông báo khác được tích hợp mật mã với chúng Chúng ta sẽ sử dụng khái niệm nhận biết tính tươi để nói đến thời khắc và tem thời gian

Sự chuẩn hóa các cơ chế tem thời gian:

ISO/IEC cũng chuẩn hóa những cơ chế tem thời gian đối với những giao thức xác thực Sự chuẩn hóa ISO/IEC đối với cơ chế nêu trên được gọi là “Giao thức xác thực đơn phương một bước khóa ISO đối xứng” và là như sau đây:

A → B: TokenAB với TokenAB = Text2 || ( || B || Text1);

Ở đây ký hiệu sự lựa chọn giữa sử dụng TA là tem thời gian và NA là số tuần tự

Cơ chế số tuần tự cũng có hai nhược điểm Thứ nhất một tập thông tin trạng thái cần phải được duy trì đối với mỗi bên liên lạc có khả năng Điều này

là khó đối với những ứng dụng trong môi trường mở trong khi mỗi thực thể có thể liên lạc với nhiều thực thể khác Bởi vậy cơ chế số tuần tự không thể phân tách công việc tốt được Thứ hai quản lý nơi lưu giữ số tuần tự có thể là rất rắc rối trong sự có mặt của những sai sót liên lạc hoặc ngẫu nhiên hoặc có chủ ý như

là tấn công từ chối dịch vụ chẳng hạn

Chúng ta nhớ lại rằng giao thức xác thực nên là không trạng thái: Một giao thức có trạng thái không thể vận hành đúng đắn trong môi trường thù địch Chính vì vậy mà cơ chế số tuần tựu không khuyến cáo sử dụng mặc dù những cơ chế như vậy đã được chuẩn hóa theo như chuẩn ISO/IEC

3.1.2.2 Xác thực lẫn nhau

Những cơ chế cơ bản đối với tính tươi của thông báo và tính sống của thực thể đã đưa ra cái được gọi là “xác thực đơn phương” có nghĩa là chỉ có một trong hai thực thể tham gia vào giao thức là được xác thực Trong xác thực lẫn nhau cả hai thực thể liên lạc đều được xác thực nhau

ISO và IEC đã chuẩn hóa một số cơ chế xác thực lẫn nhau Cơ chế dựa trên chữ ký số có tên “giao thức xác thực lẫn nhau ba bước sử dụng khóa công khai ISO” sẽ được chỉ định dưới đây Chúng ta chọn chỉ định cơ chế này để lột tả những sự hiểu sai cơ bản về xác thực lẫn nhau

Người ta có thể coi xác thực lẫn nhau chỉ đơn giản là hai xác thực đơn phương Tức là xác thực lẫn nhau có thể đạt được bằng cách áp dụng một trong những giao thức xác thực đơn phương cơ bản hai lần ở hai hướng ngược nhau

mà thôi Nhưng thực ra nói chung đó lại là không đúng

Quan hệ tinh tế giữa xác thực lẫn nhau và xác thực một phía đã không được hiểu rõ ràng từ trong giao đoạn sớm của quá trình chuẩn hóa ISO/IEC đối với giao thức dưới đây

Giao thức:

Giao thức xác thực lẫn nhau ba bước sử dụng khóa công khai ISO

Giả thiết: A có chứng chỉ khóa công khai CertA;

B có chứng chỉ khóa công khai CertB;