(NB) Giáo trình An toàn và bảo mật thông tin cung cấp cho người học những kiến thức như: Tổng quan về bảo mật và an toàn mạng; Mã hóa thông tin; Bảo vệ mạng bằng tường lửa; Danh sách điều khiển truy cập; Virus và cách phòng chống. Mời các bạn cùng tham khảo!
Trang 22
TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm
LỜI GIỚI THIỆU
”An toàn và bảo mật thông tin” là môn học bắt buộc trong các trường nghề Tuỳ thuộc vào đối tượng người học và cấp bậc học mà trang bị cho học sinh, sinh viên những kiến thức cơ bản nhất
Để thống nhất chương trình và nội dung giảng dạy trong các nhà trường chúng tôi biên soạn cuốn giáo trình: An toàn và bảo mật thông tin” Giáo trình được biên soạn phù hợp với các nghề trong các trường đào tạo nghề phục vụ theo yêu cầu của thực tế xã hội hiện nay
Tài liệu tham khảo để biên soạn gồm:
[1] Ths Ngô Bá Hùng-Ks Phạm Thế phi Giáo trình mạng máy tính Đại học Cần Thơ năm 2005
[2] Đặng Xuân Hà An toàn mạng máy tính Computer Networking năm 2005 [3] Giáo trình quản trị mạng tại website: www.ebook4you.org
[4] Bài giảng Kỹ thuật an toàn mạng Nguyễn Anh Tuấn – Trung tâm TH-NN Trí Đức
Kết hợp với kiến thức mới có liên quan môn học và những vấn đề thực tế thường gặp trong sản xuất, đời sống để giáo trình có tính thực tế cao, giúp cho người học dễ hiểu, dễ dàng lĩnh hội được kiến thức môn học
Trong quá trình biên soạn giáo trình kinh nghiệm còn hạn chế, chúng tôi rất mong nhận được ý kiến đóng góp của bạn đọc để lần hiệu đính sau được hoàn chỉnh hơn
Tổ bộ môn Kỹ thuật hệ thống và
mạng máy tính
Trang 33
Mục lục
LỜI GIỚI THIỆU 2
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 6
1.1 Mở đầu (Giới thiệu về an toàn thông tin) 6
1.2 Sự cần thiết để bảo vệ thông tin .7
1.3 Virus và các biện pháp phòng chống virus; 7
1.4 Các đặc trưng xâm nhập 7
1.5 Đặc trưng kỹ thuật của an toàn bảo mật 8
CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU CỦA MẠNG 10
2.2 Lỗ hổng bảo mật trên Internet 11
2.4 Các biện pháp phát hiện hệ thống bị tấn công 12
CHƯƠNG 3: KỸ THUẬT MÃ HÓA 14
3.2 Khái niệm về mã hóa và giải mã 15
3.4 Giới thiệu mã hóa DES 16
3.7 Mã khóa công khai RSA 21
3.9 So sánh hệ khóa bí mật và khóa công khai 23
CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ 24
4.1 Giới thiệu 24
4.3 Vấn đề xác thực và chữ kí điện tử .25
4.5 Phân loại các hệ thống chữ ký điện tử .26
4.7 Giải thuật bảo mật hàm băm SHA 27
CHƯƠNG 5: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG 28
5.2 Hệ thống xác thực 30
5.4 Ứng dụng bảo mật trong SSL 32
THỰC HÀNH: KỸ THUẬT MÃ HÓA DES (Ca 1) 36
THỰC HÀNH: MÃ HÓA CÔNG KHAI RSA (CA 2) 42
THỰC HÀNH: THUẬT TOÁN CHỮ KÝ ĐIỆN TỬ DSA 48
THỰC HÀNH: CHỨNG CHỈ SỐ 54
Trang 44
AN TOÀN BẢO MẬT THÔNG TIN
I Vị trí, tính chất của mô đun:
- Vị trí: Mô đun được bố trí dạy sau khi học xong các môn học chung, môn học mô đun: Mạng máy tính và Quản trị mạng 1
- Tính chất: Là mô đun chuyên môn nghề bắt buộc
II Mục tiêu mô đun:
- Về kiến thức:
Xác định được các thành phần cần bảo mật cho một hệ thống mạng;
Trình bày được các hình thức tấn công vào hệ thống mạng;
Mô tả được cách thức mã hoá thông tin;
Trình bày được quá trình NAT trong hệ thống mạng;
Mô tả được nguyên tắc hoạt động của danh sách truy cập;
Liệt kê được danh sách truy cập trong chuẩn mạng TCP/IP;
Phân biệt được các loại virus thông dụng và cách phòng chống virus
- Về kỹ năng:
Cài đặt các biện pháp cơ bản phòng chống tấn công trong mạng;
Cấu hình được phương thức NAT trong hệ thống mạng;
Cấu hình được danh sách truy cập trong hệ thống mạng;
Đánh giá phát hiện khi bị tấn công trong mạng;
III Nội dung mô đun:
1 Nội dung tổng quát và phân bổ thời gian:
Số TT Tên chương/mục
I Tổng quan về bảo mật và an toàn mạng
Các khái niệm chung
Nhu cầu bảo vệ thông tin
II Mã hóa thông tin
Đặc điểm chung
Mã hóa cổ điển
Trang 5Các kỹ thuật NAT cổ điển
NAT trong window server
IV Bảo vệ mạng bằng tường lửa
Các kiểu tấn công
Các mức bảo vệ an toàn
Internet Firewall
V Danh sách điều khiển truy cập
Khái niệm về danh sách truy cập
Nguyên tắc hoạt động của danh sách truy cập
VI Virus và cách phòng chống
Giới thiệu tổng quan về virus
Cách thức lây lan và phân loại virus
Ngăn chặn sự xâm nhập virus
Trang 66
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được lịch sử phát triển và sự cần thiết của an toàn thông tin;
- Trình bày được khái niệm Virus và các biện pháp phòng chống virus;
Kỹ năng: Thực hiện các thao tác an toàn thông tin với máy tính
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế
NỘI DUNG
1.1 Mở đầu (Giới thiệu về an toàn thông tin)
Khái niệm an toàn thông tin
An toàn thông tin là: là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ tầng thông tin
- Mục tiêu hướng tới
- Đảm bảo an toàn thông tin
Các nguyên tắc nền tảng của ATTT (mô hình C-I-A)
Trang 77
1.2 Sự cần thiết để bảo vệ thông tin
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu và rủi do
Mục đích của an toàn thông tin
- Bảo vệ tài nguyên của hệ thống
- Bảo đảm tính riêng tư
1.3 Virus và các biện pháp phòng chống virus;
Khái niệm virus máy tính
- Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa, file khác mà người sữ dụng không hay biết
- Lây nhiễm theo cách cổ điển;
- Lây nhiễm qua thư điện tử;
- Lây nhiêm qua mạng Internet
Các cách phòng chống
- Sử dụng phần mềm diệt virus
- Sử dụng tường lửa cá nhân;
- Cập nhật các bản vá lỗi của hệ điều hành;
- Vận dụng kinh nghiệm sử dụng máy tính;
- Bảo vệ dữ liệu máy tính
1.4 Các đặc trưng xâm nhập
Các hình thức xâm nhập hệ thống thông tin:
Trang 88
- Interruption (Gián đoạn);
- Interception (ngăn chặn);
- Modification (can thiệp);
- Fabrication (mạo danh)
Các phương thức tấn công
- Tấn công từ chối dịch vụ (Denial of Service);
- Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS)
- Tấn công giả danh (Spoofing attack);
- Tấn công xen giữa (Man-in-the-middle attack);
- Tấn công phát lại (Replay attack);
- Nghe lén (Sniffing attack);
- Tấn công mật khẩu (Password attack)
1.5 Đặc trưng kỹ thuật của an toàn bảo mật
Yêu cầu của một hê thống thông tin an toàn và bảo mật
Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên Như vậy hệ truyền tin phải có các đặt tính sau:
1) Tính bảo mật (Confidentiality)
2) Tính chứng thực (Authentication)
3) Tính không từ chối (Nonrepudiation)
Vai trò của mật mã trong việc bảo mật thông tin
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của bảo mật thông tin Mật mã đáp ứng được các nhu cầu về tính bảo mật
(confidentiality), tính chứng thực (authentication) và tính không từ chối repudiation) của một hệ truyền tin
Các giao thức thực hiện bảo mật
Trang 99
Sau khi tìm hiểu về mật mã, chúng ta sẽ tìm hiểu về cách ứng dụng
chúng vào thực tế thông qua một số giao thức bảo mật phổ biến hiện nay là:
Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng
Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai
Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến trong Web và thương mại điện tử
PGP và S/MIME: bảo mật thư điện tử email
Bảo vệ hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài
Để thực hiện việc bảo vệ này, người ta dùng khái niệm “kiểm soát truy cập” (Access Control) Khái niệm kiểm soát truy cập này có hai yếu tố sau:
Chứng thực truy cập (Authentication): xác nhận rằng đối tượng (con người hay chương trình máy tính) được cấp phép truy cập vào hệ thống Ví dụ: để sử dụng máy tính thì trước tiên đối tượng phải logon vào máy tính bằng username và password Ngoài ra, còn có các phương pháp chứng thực khác như sinh trắc học (dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…)
Phân quyền (Authorization): các hành động được phép thực hiện sau khi đã truy cập vào hệ thống Ví dụ: bạn được cấp username và password để logon vào
hệ điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó Hoặc bạn chỉ có quyền đọc file mà không có quyền xóa file
Trang 1010
CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU
CỦA MẠNG MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Giới thiệu mô hình TCP/IP
Lịch sử phát triển của TCP/IP:
- Đầu năm 1980, bộ giao thức TCP/IP ra đời làm giao thức chuẩn cho mạng ARPANET và các mạng của DoD
Khái niệm và lịch sử phát triển
TCP/IP là bộ các giao thức có vai trò xác định quá trình liên lạc trong mạng và quan trọng hơn cả là định nghĩa “hình dạng” của một đơn vị dữ liệu và những thông tin chứa trong nó để máy tính đích có thể dịch thông tin một cách
chính xác
Kiến trúc TCP/IP
Bộ giao thức TCP/IP đƣợc phân làm 4 tầng:
- Tầng ứng dụng (Application Layer)
Trang 1111
- Tầng giao vận (Transport Layer)
- Tầng Internet (Internet Layer)
- Tầng truy cập mạng (Network access Layer)
Các giao thức tương ứng với các lớp trong mô hình TCP/IP
- Các giao thức trong lớp ứng dụng;
- Các giao thức trong lớp vận chuyển;
- Các giao thức trong lớp Mạng;
- Các giao thức trong lớp truy cập mạng
Quá trình đóng gói dữ liệu trong mô hình TCP/IP
Quá tình đóng gói dữ liệu được tiến hành theo nhiều bước và được chi tiết hóa bằng hình vẽ
Giao thức TCP và UDP
– TCP cung cấp luồng dữ liệu tin cậy giữa 2 trạm, nó sử dụng các cơ chế như chia nhỏ các gói tin ở tầng trên thành các gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian timeout để đảm bảo bên nhân biết được các gói tin đã gửi đi Do tầng này đảm bảo tính tin cậy nên tầng trên sẽ không cần quan tâm đến nữa
– UDP cung cấp một dịch vụ rất đơn giản hơn cho tầng ứng dụng Nó chỉ gửi
dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được tới đích Các cơ chế đảm bảo độ tin cậy được thực hiện bởi tầng trên Tầng ứng dụng
2.2 Lỗ hổng bảo mật trên Internet
Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể xâm nhập trái phép vào hệ thống
Các loại lỗ hổng trong bảo mật:
- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial
of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ,
Trang 12- Kỹ thuật đánh lừa (Social Engineering);
- Kỹ thuật tấn công vào vùng ẩn;
- Tấn công vào các lỗ hổng bảo mật;
- Nghe trộm;
- Kỹ thuật giả mạo địa chỉ;
- Tấn công vào hệ thống có cấu hình không an toàn;
- Tấn công dùng Cookies;
- Can thiệp vào tham số trên URL;
- Vô hiệu hóa dịch vụ;
- Một số kiểu tấn công khác
2.4 Các biện pháp phát hiện hệ thống bị tấn công
Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng trong quá trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên một hệ thống máy tính hoặc mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có thể xảy ra, đó là các vi phạm hoặc các mối đe dọa sắp xảy ra xâm phạm chính
sách bảo mật máy tính
Hệ thống phát hiện xâm nhập trái phép
Trang 1313
Giới thiệu về hệ thống phát hiện xâm nhập
Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một thiết bị phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo
Phân loại IDS
- NIDS – Hệ thống IDS dựa trên mạng;
- IDS dựa trên máy chủ;
- IDS dựa trên ứng dụng;
- IDS dựa trên dấu hiệu;
- IDS dựa trên thống kê sự bất thường
Cơ chế hoạt động của IDS
- Phát hiện dựa trên sự bất thường;
- Phát hiện thông qua giao thức (Protocol);
- Phát hiện nhờ quá trình tự học
2.5.Các biện pháp phòng ngừa
Tường lửa (Firewall)
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet
Hệ thống Proxy Server
Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình ứng dụng) đóng vai trò trung gian cho các yêu cầu giữa người dùng tìm kiếm tài nguyên với hệ thống máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và Internet
Trang 1414
Tạo đường hầm (Tuneling)
Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung gian (thường là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính này đến máy tính qua hệ thống mạng Kỹ thuật này cho phép mã hóa và tiếp nhận đối với toàn bộ gói tin IP Các cổng bảo mật sử dụng kỹ thuật này để cung
cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng
Thiết bị kiểm soát nội dung SCM (Secure Content Management)
Secure Content Management (SCM) là một thiết bị mạng chuyên dụng được đặt sau tường lửa và trên một vùng mạng để bảo vệ cho toàn bộ hệ thộng phía sau
Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính kèm, email hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,…
để tìm Virus/Spam, Spyware, Keyloggerm Phishing,…
CHƯƠNG 3: KỸ THUẬT MÃ HÓA MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được khái niệm mã hóa và giải mã
- Trình bày được các thuật toán mã hóa DES, phương pháp mã hóa công
Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật
thông tin Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin
Trang 1515
bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu được
3.2 Khái niệm về mã hóa và giải mã
Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào
đó được gọi là quá trình mã hoá (encryption) Quá trình biến đổi thông tin mật
về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption)
Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật
mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thông
tin đó Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã hóa và giải mã
Các thành phần trong một hệ thống mật mã điển hình bao gồm:
-Plaintext: là thông tin gốc cần truyền đi giữa các hệ thống thông tin
-Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thông tin mật
từ thông tin gốc
-Key: khóa mật mã, gọi tắt là khóa Đây là thông tin cộng thêm mà thuật tóan
mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật
-Ciphertext: thông tin đã mã hóa (thông tin mật) Đây là kết quả của thuật toán
mã hóa
-Decryption algorithm: Thuật tóan giải mã Đầu vào của thuật tóan này là thông
tin đã mã hóa (ciphertext) cùng với khóa mật mã Đầu ra của thuật tóan là thông tin gốc (plaintext) ban đầu
3.3 Kỹ thuật mã hóa khóa bí mật
Kỹ thuật mã hoá được chia thành hai loại: mã hoá dùng khoá đối xứng
(symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key encryption) như sẽ trình bày trong các phần tiếp theo
Các tiêu chí đặc trưng của một hệ thống mã hóa:
Một hệ thống mã hóa bất kỳ được đặc trưng bởi 3 tiêu chí sau đây:
-Phương pháp mã (operation): có hai phương pháp mật mã bao gồm thay thế
(substitution) và chuyển vị (transposition)
-Số khóa sử dụng (number of keys): nếu phía mã hóa (phía gởi) và phía giải mã
(phía nhận) sử dụng chung một khóa, ta có hệ thống mã dùng khoá đối xứng
(symmetric key) - gọi tắt là mã đối xứng hay còn có các tên gọi khác như mã một khóa (single-key), mã khóa bí mật (secret key) hoặc mã quy ước (conventional cryptosystem)
Trang 1616
-Cách xử lý thông tin gốc (mode of cipher): thông tin gốc có thể được xử lý
liên tục theo từng phần tử , khi đó ta có hệ thống mã dòng (stream cipher)
Tấn công một hệ thống mật mã
Tấn công (attack) hay bẻ khoá (crack) một hệ thống mật mã là quá trình
thực hiện việc giải mã thông tin mật một cách trái phép
Kẻ tấn công thường không có đầy đủ 3 thông tin này, do đó, thường cố gắng để giải mã thông tin bằng hai phương pháp sau:
-Phương pháp phân tích mã (cryptanalysis): dựa vào bản chất của thuật tóan
mã hóa, cùng với một đọan thông tin gốc hoặc thông tin mật có được, kẻ tấn công tìm cách phân tích để tìm ra tòan bộ thông tin gốc hoặc tìm ra khóa, rồi sau
đó thực hiện việc giải mã toàn bộ thông tin
mật
-Phương pháp thử tuần tự (brute-force): bằng cách thử tất cả các khóa có thể,
kẻ tấn công có khả năng tìm được khóa đúng và do đó giải mã được thông tin mật
Hai thành phần đảm bảo sự an toàn của một hệ thống mật mã là thuật toán mã (bao gồm thuật toán mã hoá và thuật toán giải mã) và khoá
Trong thực tế, thuật tóan mã không được xem như một thông tin bí mật, bởi vì mục đích xây dựng một thuật tóan mã là để phổ biến cho nhiều người dùng và cho nhiều ứng dụng khác nhau, hơn nữa việc che giấu chi tiết của một thuật tóan chỉ có thể tồn tại trong một thời gian ngắn, sẽ có một lúc nào đó, thuật tóan này sẽ được tiết lộ ra, khi đó tòan bộ hệ thống mã hóa trở nên vô dụng Do vậy, tất cả các tình huống đều giả thiết rằng kẻ tấn công đã biết trước thuật tóan
mã
Như vậy, thành phần quan trọng cuối cùng của một hệ thống mã là khóa của hệ thống, khóa này phải được giữ bí mật giữa các thực thể tham gia nên
được gọi là khóa bí mật
3.4 Giới thiệu mã hóa DES
Trang 17mật trong suốt thời gian sử dụng
Kỹ thuật mật mã đối xứng còn được gọi là mật mã quy ước
conventional encryption)hoặc mật mã dùng khóa bí mật (secret key encryption)
Thuật toán mật mã DES
DES (Data Encryption Standard) là một thuật tóan mã dựa trên cấu trúc Feistel được chuẩn hóa năm 1977 bởi cơ quan chuẩn hóa Hoa kỳ (NIST – National Institute of Standards and Technology)
Cơ chế thực hiện mã hóa DES được mô tả ở hình:
DES xác định các thông số của cấu trúc Feistel như sau:
- Kích thước khối: 64 bit
- Chiều dài khoá: 64 bit, thực ra là 56 bit như sẽ trình bày sau đây
- Số vòng lặp: 16 vòng
- Thuật toán sinh khoá phụ: kết hợp phép dịch trái và hoán vị
- Hàm F: kết hợp các phép XOR, hoán vị và thay thế (S-box)
Thông số của DES được trình bày sau đây:
-Phép hoán vị khởi đầu (IP);
-Hàm F;
-Thuật toán sinh khoá phụ
Thuật tóan mật mã DES là một thuật tóan dựa trên cấu trúc Feistel
nhưng có cách thực hiện phức tạp, được thiết kế dựa trên các thao tác xử lý bit (bitwise operartions) như phép XOR, phép dịch, hoán vị, … do đó thích hợp với các thiết bị mã hoá bằng phần cứng Thuật toán DES không dễ phân tích, và trong một thời gian dài đã được giữ bí mật
Thuật toán mật mã Triple DES
Trang 1818
Tripple DES hay DES bội ba (viết tắt là 3DES hoặc TDES) là một phiên bản cải tiến của DES Nguyên tắc của Triple DES là tăng chiều dài khoá của DES để tăng độ an toàn, nhưng vẫn giữ tính tương thích với thuật toán DES cũ
Triple DES với hai khoá là một thuật toán mật mã an toàn, tránh được các tấn công xen giữa và đã được sử dụng thay thế DES trong nhiều ứng dụng (ANS X9.17, ISO 8732, …)
Một phiên bản khác của Triple DES là sử dụng cả 3 khoá khác nhau K1, K2, K3 với cùng cấu trúc như trên Khi đó chiều dài khoá của thuật toán là K1 + K2 + K3 = 168 bit Khi cần thiết phải đảm bảo tính tương thích với các ứng dụng DES cũ thì đặt K1 = K2 hoặc K3 = K2 Triple DES 3 khoá cũng đã
được ứng dụng trong nhiều dịch vụ, đặc biệt là PGP, S/MIME Thuật toán mật
mã AES
Triple DES đã khắc phục được các điểm yếu của DES và hoạt động ổn định trong nhiều ứng dụng trên mạng Internet Tuy nhiên, Triple DES vẫn còn chứa những nhược điểm của DES như tính khó phân tích, chỉ thích hợp với thực thi bằng phần cứng chứ không thích hợp cho thực thi bằng phần mềm, kích thước khối cố định 64 bit, …
Các thuật toán mật mã đối xứng khác
Ngoài 2 thuật toán mật mã hóa tiêu chuẩn ở trên (Triple DES được xem như là một phiên bản nâng cấp của DES chứ không phải một thuật toán độc lập),
có nhiều thuật toán khác cũng đã chứng minh được tính hiệu quả của nó và được
sử dụng trong một số ứng dụng khác nhau:
- IDEA (International Data Encryption Algorithm) là một thuật toán mật mã
đối xứng được phát triển ở Thụy điển năm 1991
-Blowfish được phát triển năm 1993, bởi một người nghiên cứu mật mã hóa độc
lập (Bruce Schneier) và cũng đã nhanh chóng được sử dụng song song với giải thuật mã hóa DES
-RC4 và RC5 là giải thuật mã hóa đối xứng được thiết kế bởi Ron Rivest (một
trong những người phát minh ra giải thuật mã hóa bất đối xứng RSA) vào năm
Trang 1919
1988 và 1994
-CAST-128 là một thuật toán khác được thiết kế năm 1997 bởi Carlisle Adams
và Stafford Tavares
3.5 Ưu, nhược điểm của mã hóa đối xứng
- Tác dụng đồng loạt Khi ta thay đổi 1 bit trong khoá sẽ gây ra tác động đồng
loạt làm thay đổi nhiều bit trên bản mã Đây là tính chất mong muốn của khoá trong thuật toán mã hoá
- Sức mạnh của DES – kích thước khoá Độ dài của khoá trong DES là 56 bít
có 256 = 7.2 x 1016 giá trị khác nhau Đây là con số rất lớn nên tìm kiếm duyệt rất khó khăn
- Sức mạnh của DES – tấn công thời gian Đây là dạng tấn công vào cài đặt
thực tế của mã Ở đây sử dụng hiểu biết về quá trình cài đặt thuật toán mà suy ra thông tin về một sô khoá con hoặc mọi khoá con
- Sức mạnh của DES – tấn công thám mã Có một số phân tích thám mã trên
DES, từ đó đề xuất xây dựng một số cấu trúc sâu về mã DES Rồi bằng cách thu thập thông tin về mã, có thể đoán biết được tất cả hoặc một số khoá con đang dùng
- Thám mã sai phân: Thám mã sai phân là tấn công thống kê chống lại các mã
Fiestel Mã Fiestel dùng các cấu trúc mã chưa được sử dụng trước kia như thiết
kế S-P mạng có đầu ra từ hàm f chịu tác động bởi cả đầu vào và khoá Do đó không thể tìm lại được giá trị bản rõ mà không biết khoá
- Thám mã tuyến tính: Đây là một phát hiện mới khác Nó cũng dùng phương
pháp thống kê Ở đây cần lặp qua các vòng với xác suất giảm, nó được phát triển
bởi Matsui và một số người khác vào đầu những năm 90
3.6 Cơ sở hạ tầng khóa công khai
Cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) là một hệ thống hạ tầng bao gồm các thiết bị phần cứng, chương trình phần mềm, các chính sách, thủ tục và con người cần thiết để tạo ra, quản lý, lưu trữ và phân
Trang 20- Các thành phần của PKI:
End Entity (thực thể đầu cuối): là người sử dụng, một phần mềm hoặc một
thiết bị tham gia vào quá trình trao đổi thông tin sử dụng mã hóa khóa công khai
Certificate Authority (CA): là thực thể tạo ra các chứng thực khóa
Registration Authority (RA): là một thành phần tùy chọn của PKI, có chức
năng xử lý một số công việc quản lý nhằm giảm tải cho CA, chẳng hạn như đăng ký thực thể đầu cuối, kiểm chứng các thực thể đầu cuối, tạo ra các cặp khóa publicprivate, …
Repository: Kho lưu trữ chứng thực khóa và cung cấp chứng thực khóa cho
các thực thể đầu cuối khi có yêu cầu
Certificate revocation list (CRL) Issuer: Một chứng thực khóa khi đã được tạo
ra và phổ biến thì không có nghĩa là nó sẽ được tồn tại vĩnh viễn
- Các chức năng quản lý của PKI:
Đăng ký (Registration);
Khởi tạo (Initialization);
Chứng thực (Certification);
Phục hồi khóa (Key-pair recovery);
Cập nhật khóa (Key-pair update);
Yêu cầu thu hồi chứng thực khóa (Revocation request)
Trang 21- Trình bày được các đặc điểm của mã hóa công khai RSA
- So sánh được các hệ khóa bí mật và khóa công khai
Kĩ năng: Mô tả được hoạt động của các hệ thống lai
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế
NỘI DUNG:
3.7 Mã khóa công khai RSA
(RIVEST SHAMIR ADELMAN)
Đặc trưng của kỹ thuật mật mã bất đối xứng là dùng 2 khóa riêng biệt cho hai quá trình mã hóa và giải mã, trong đó có một khóa được phổ biến công khai (public key hay PU) và khóa còn lại được giữ bí mật (private key hay PR)
Thuật toán mật mã bất đối xứng dựa chủ yếu trên các hàm toán học hơn
là dựa vào các thao tác trên chuỗi bit Mật mã hóa bất đối xứng còn được gọi bằng một tên thông dụng hơn là mật mã hóa dùng khóa công khai (public key
encryption)
Thuật toán mật mã RSA
RSA là thuật toán mật mã bất đối xứng được xây dựng bởi Ron Rivest, Adi Shamir và Len Adleman tại viện công nghệ Massachusetts (MIT), do đó được
đặt tên là Rivest – Shamir –Adleman hay RSA Thuật toán này ra đời năm 1977
và cho đến nay đã được ứng dụng trong nhiều lĩnh vực
RSA là một thuật toán mật mã khối, kích thước khối thông thường là
1024 hoặc 2048 bit Thông tin gốc của RSA được xử lý như các số nguyên Ví
dụ, khi chọn kích thước khối của thuật toán là 1024 bit thì số nguyên này có giá trị từ 0 đến 21024 – 1, tương đương với số thập phân có 309 chữ số
Trang 2222
Cơ sở lý thuyết của thuật toán RSA
- Hàm Euler: Cho một số nguyên dương n, định nghĩa (n) là số các số nguyên dương nhỏ hơn n và là số nguyên tố cùng nhau với n Ví dụ: cho n = 8, các số nguyên dương nhỏ hơn 8 và là số nguyên tố cùng nhau với 8 là các số 1, 3, 5, 7,
do đó (8) = 4 (n) được gọi là hàm Euler của n
- Định lý Euler: cho a và n là hai số nguyên tố cùng nhau, ta có a(n) = 1 mod
Chọn e sao ước số chung lớn nhất của e và (N) là 1
Chọn d sao cho e.d mod (N) = 1
Cặp khoá RSA được tạo ra là PU = (N, e), PR = (N, d)
2- Mã hoá:
C = Me mod N (M là số nguyên nhỏ hơn N)
3- Giải mã:
M = C d mod N
Độ an toàn của RSA
Theo lý thuyết, hệ thống RSA có thể bị tấn công bằng những phương thức sau đây:
Brute-force attack: tìm lần lượt khoá riêng PR
Mathematical attack: xác định p và q bằng cách phân tích N thành tích của
các thừa số nguyên tố rồi từ đó xác định e và d
Timing attack: dựa trên thời gian thực thi của thuật toán giải mã
Chosen ciphertext attack: sử dụng các đọan thông tin mật (ciphertext) đặc biệt để khôi phục thông tin gốc
Trang 2323
3.8 Các hệ thống lai
Trên thực tế hệ thống mã hóa khóa công khai chưa thể thay thể hệ thống
mã hóa khóa bí mật được, nó ít được sử dụng để mã hóa dữ liệu mà thường dùng
để mã hóa khóa Hệ thống mã hóa khóa lai ra đời là sự kết hợp giữa tốc độ và tính an toàn của hai hệ thống mã hóa ở trên Dưới đây là mô hình của hệ thống
mã hóa lai
3.9 So sánh hệ khóa bí mật và khóa công khai
- Mã khóa bí mật (mã hóa đối xứng-mã hóa khóa riêng):
+ Sử dụng cùng 1 khóa bởi người gửi (cho việc mã hóa) và người nhận (cho việc giải mã)
+ Thuật toán được chấp nhận rộng rãi nhất cho việc mã hóa khóa bí mật là thuật toán chuẩn mã hóa dữ liệu (DES) Giao thức SET chấp nhận thuật toán DES với chìa khóa 64 bit của nó Thuật toán này có thể phá mã được nhưng phải mất nhiều năm với chi phí hàng triệu đô la
+ Người gửi và người nhận thông điệp phải chia sẻ 1 bí mật, gọi là chìa khóa
- Mã khóa công khai (mã hóa không
đối xứng ):
+ Sử dụng 2 khóa khác nhau, 1 khóa công khai (để mã hóa thông điệp tất cả người sử dụng được phép biết) và một khóa riêng (để giải mã thông điệp chỉ có người sở hữu nó biết)
+ Thuật toán được chấp nhận rộng rãi nhất cho việc mã hóa công khai là thuật toán RSA với nhiều kích cỡ khác nhau (1024 bit) Thuật toán này không bao giờ
bị phá bởi các hacker, do đó nó được xem là phương pháp mã hóa an toàn nhất được biết cho đến nay
+ Thông điệp được mã hóa chỉ có thể được giải mã với chìa khóa riêng của
người nhận
Trang 2424
CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày các khái niệm cơ bản về chữ kí điện tử và chứng chỉ số
- Trình bày hoạt động và phân loại được các loại chữ kí điện tử số
Kĩ năng: Thực hiện các bài toán về thuật toán DSA và giải thuật bâm bảo mật SHA
Ngày nay, với sự phát triển bùng nổ của công nghệ thông tin nói chung
và Internet nói riêng, công việc kinh doanh của các doanh nghiệp trở nên thuận lợi hơn,
tiết kiệm được rất nhiều thời gian cũng như các thủ tục hành chính Tuy nhiên, Internet cũng mang lại nhiều rủi ro cho các tổ chức, cá nhân, mà một trong
những vấn đề lớn
nhất và vấn đề gian lận vì vậy chữ ký số đã được ra đời để đảm bảo sự an toàn trong việc giao dịch số
4.2 Một số khái niệm cơ bản
- Chữ ký điện tử: là một cơ chế xác thực cho phép người tạo ra thông tin
(message creator) gắn thêm một đọan mã đặc biệt vào thông tin có tác dụng như một chữ ký Chữ ký được tạo ra bằng cách áp dụng một hàm băm lên thông gốc, sau đó mã hóa thông tin gốc dùng khóa riêng của
Trang 2525
người gởi Chữ ký số có mục đích đảm bảo tính tòan vẹn về nguồn gốc và nội dung của thông tin
- Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân,
một máy chủ, một công ty trên Internet Nó giống như bằng lái xe, hộ chiếu, chứng minh thư hay những giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải được cơ quan Công An sở tại cấp
4.3 Vấn đề xác thực và chữ kí điện tử
Xác thực (Authentication protocols) là một hành động nhằm thiết lập, có nghĩa là những lời khai báo do người nào đố đưua ra hoặc về vật đó là sự thật Xác thực một đối tượng còn có nghĩa là công nhận nguồn gốc của đối tượng, trong khi, xác thực một người thường bao gồm việc thẩm tra nhận dạng của họ Việc xác thực thường phụ thuộc vào một hoặc nhiều nhận tố xác thức (authentication factors) để chứng minh cụ thể
4.4 Hoạt động của một hệ thống chữ kí điện tử
Giống như một chữ ký thông thường (chữ ký bằng tay), một chữ ký số phải có đầy đủ các
thuộc tính sau đây:
Phải xác nhận chính xác người ký và ngày giờ phát sinh chữ ký
Phải xác thực nội dung thông tin ngay tại thời điểm phát sinh chữ ký
Phải có khả năng cho phép kiểm chứng bởi một người thứ 3 để giải quyết các
Trang 2626
tranh chấp nếu có
Như vậy, chức năng của chữ ký số bao gồm chức năng của xác thực thông tin
Các yêu cầu đối với chữ ký số:
Là một chuỗi bit phát sinh từ khối thông tin cần được xác nhận (thông tin gốc)
Chữ ký phải chứa thông tin nhận dạng riêng của người ký để tránh giả mạo và tránh phủ nhận
Quy trình tạo ra chữ ký cũng như xác minh chữ ký phải đơn giản, nhanh chóng
Chữ ký thông thể bị giả mạo bằng bất cứ cách nào
Có thể sao chép một bản sao của chữ ký dành cho mục đích lưu trữ
4.5 Phân loại các hệ thống chữ ký điện tử
Phân loại chữ ký số: Có nhiều thuật toán phát sinh chữ ký số khác nhau Có thể
phân loại các thuật toán này theo các cách như sau:
Chữ ký cố định và chữ ký ngẫu nhiên: thuật toán tạo chữ ký cố định (deterministic) tạo ra một chữ ký duy nhất ứng với một khối thông tin gốc xác
định, nghĩa là nếu thực hiện nhiều lần thuật toán tạo chữ ký trên một bản tin thì vẫn cho ra một kết quả duy nhất
Chữ ký phục hồi được và chữ ký không phục hồi được: cơ chế tạo chữ ký phục hồi được (reversible signature) cho phép người nhận phục hồi lại thông tin gốc
từ chữ
ký, điều này cũng có nghĩa là chữ ký phải có chứa thông tin gốc trong nó dưới
một dạng mã hoá nào đó, và kết quả là chữ ký số sẽ có kích thước lớn hơn thông tin gốc Khi đó, người gởi chỉ cần gởi đi chữ ký là đủ Do vậy, cơ chế tạo chữ ký này cũng còn được gọi là chữ ký khôi phục bản tin (signature with message recovery)
4.6 Thuật toán chữ ký điện tử DSA
Thuật toán tạo chữ ký DSA (Digital Signature Algorithm):
Trang 2727
DSA là thành phần trọng tâm của chữ ký số DSS, có chức năng tạo ra chữ
ký từ các thông tin như mã băm của thông tin gốc, khoá riêng của người ký, khoá công khai của nhóm và một số ngẫu nhiên k DSA được xây dựng dựa trên phép toán logarit rời rạc, được tóm tắt như sau:
-Tạo các thành phần khoá công khai (public key components);
-Tạo khoá riêng của người dùng;
-Tạo khoá công khai của người dùng;
-Tạo số bí mật cho từng bản tin;
-Tạo chữ ký;
-Kiểm chứng chữ ký
4.7 Giải thuật bảo mật hàm băm SHA
Các hàm băm bảo mật (secure hash functions) hay gọi tắt là hàm băm là một trong những kỹ thuật cơ bản để thực hiện các cơ chế xác thực thông tin (message authentication) Ngoài ra, hàm băm cũng còn được sử dụng trong nhiều thuật toán mật mã, trong chữ ký số (digital signature) và nhiều ứng dụng khác
Nguyên tắc của hàm băm là biến đổi khối thông tin gốc có độ dài bất kỳ thành
một đoạn thông tin ngắn hơn có độ dài cố định gọi là mã băm (hash code hay message digest) Mã băm được dùng để kiểm tra tính chính xác của thông tin
nhận được Thông thường, mã băm được gởi kèm với thông tin gốc
SHA (Secure Hash Function) được chuẩn hoá năm 1993, sau đó được chỉnh sửa năm 1995 và đặt tên là SHA-1, từ đó phiên bản cũ được gọi là SHA-0 SHA-1 tạo ra mã băm có chiều dài cố định là 160 bit Về sau, có nhiều nâng cấp đối với
SHA, chủ yếu là tăng chiều dài mã băm, từ đó xuất hiện các phiên bản khác nhau của SHA, bao gồm: SHA-256 (mã băm dài 256 bit), SHA-384 (mã băm dài
385 bit) và SHA-512 (mã băm dài 512 bit)
4.8 Chứng chỉ số thực hành: Quản lý tiến trình
Lợi ích của chứng chỉ số
Trang 2828
- Mã hoá - Bảo mật;
- Chống giả mạo;
- Xác thực;
- Chống chối cãi nguồn gốc
Công nghệ SSL có các tính năng nổi bật như:
- Thực hiện mua bán bằng thẻ tín dụng;
- Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng;
- Đảm bảo hacker không thể dò tìm được mật khẩu
CHƯƠNG 5: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được các giao thức và hệ thống xác thực
- Trình bày các ứng dụng bảo mật trong thanh toán điện tử
Kĩ năng: Thực hiện các thao tác an toàn với máy tính