Giáo trình An toàn và bảo mật thông tin (Ngành: Quản trị mạng) - CĐ Công nghiệp Hải Phòng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (780.95 KB, 56 trang )
UỶ BAN NHÂN DÂN TỈNH HẢI PHÒNG
TRƯỜNG CĐCN HẢI PHÒNG
GIÁO TRÌNH
Tên mơn học: An tồn và bảo mật thơng tin
TRÌNH ĐỘ CAO ĐẲNG
HẢI PHÒNG
1
TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thơng tin có thể
được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và
tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh
doanh thiếu lành mạnh sẽ bị nghiêm cấm.
LỜI GIỚI THIỆU
”An toàn và bảo mật thông tin” là môn học bắt buộc trong các trường
nghề. Tuỳ thuộc vào đối tượng người học và cấp bậc học mà trang bị cho học
sinh, sinh viên những kiến thức cơ bản nhất.
Để thống nhất chương trình và nội dung giảng dạy trong các nhà trường
chúng tôi biên soạn cuốn giáo trình: An tồn và bảo mật thơng tin”. Giáo trình
được biên soạn phù hợp với các nghề trong các trường đào tạo nghề phục vụ
theo yêu cầu của thực tế xã hội hiện nay.
Tài liệu tham khảo để biên soạn gồm:
[1]. Ths. Ngô Bá Hùng-Ks. Phạm Thế phi Giáo trình mạng máy tính Đại học
Cần Thơ năm 2005
[2]. Đặng Xn Hà An tồn mạng máy tính Computer Networking năm 2005
[3]. Giáo trình quản trị mạng tại website: www.ebook4you.org
[4]. Bài giảng Kỹ thuật an toàn mạng Nguyễn Anh Tuấn – Trung tâm TH-NN
Trí Đức.
Kết hợp với kiến thức mới có liên quan mơn học và những vấn đề thực tế
thường gặp trong sản xuất, đời sống để giáo trình có tính thực tế cao, giúp cho
người học dễ hiểu, dễ dàng lĩnh hội được kiến thức môn học.
Trong q trình biên soạn giáo trình kinh nghiệm cịn hạn chế, chúng tơi
rất mong nhận được ý kiến đóng góp của bạn đọc để lần hiệu đính sau được
hồn chỉnh hơn.
Tổ bộ mơn Kỹ thuật hệ thống và
mạng máy tính
2
Mục lục
LỜI GIỚI THIỆU ..................................................................................................................................2
CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN ....................................................................6
1.1
Mở đầu (Giới thiệu về an tồn thông tin) .................................................................................6
1.2
Sự cần thiết để bảo vệ thông tin. ..............................................................................................7
1.3 Virus và các biện pháp phòng chống virus; ...................................................................................7
1.4. Các đặc trưng xâm nhập ................................................................................................................7
1.5. Đặc trưng kỹ thuật của an toàn bảo mật ........................................................................................8
CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU CỦA MẠNG .................10
2.2.
Lỗ hổng bảo mật trên Internet ................................................................................................11
2.4.
Các biện pháp phát hiện hệ thống bị tấn công ........................................................................12
CHƯƠNG 3: KỸ THUẬT MÃ HĨA ....................................................................................................14
3.2.
Khái niệm về mã hóa và giải mã ............................................................................................15
3.4.
Giới thiệu mã hóa DES ..........................................................................................................16
3.7.
Mã khóa cơng khai RSA ........................................................................................................21
3.9.
So sánh hệ khóa bí mật và khóa cơng khai.............................................................................23
CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ .....................................................................24
4.1.
Giới thiệu................................................................................................................................24
4.3.
Vấn đề xác thực và chữ kí điện tử. .........................................................................................25
4.5.
Phân loại các hệ thống chữ ký điện tử....................................................................................26
4.7
Giải thuật bảo mật hàm băm SHA .........................................................................................27
CHƯƠNG 5: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG .....................................................................28
5.2.
Hệ thống xác thực ..................................................................................................................30
5.4.
Ứng dụng bảo mật trong SSL .................................................................................................32
THỰC HÀNH: KỸ THUẬT MÃ HÓA DES (Ca 1) .............................................................................36
THỰC HÀNH: MÃ HĨA CƠNG KHAI RSA (CA 2) ..........................................................................42
THỰC HÀNH: THUẬT TOÁN CHỮ KÝ ĐIỆN TỬ DSA ..................................................................48
THỰC HÀNH: CHỨNG CHỈ SỐ ..........................................................................................................54
3
AN TỒN BẢO MẬT THƠNG TIN
I. Vị trí, tính chất của mơ đun:
- Vị trí: Mơ đun được bố trí dạy sau khi học xong các môn học chung, môn
học mơ đun: Mạng máy tính và Quản trị mạng 1
- Tính chất: Là mơ đun chun mơn nghề bắt buộc.
II. Mục tiêu mô đun:
- Về kiến thức:
Xác định được các thành phần cần bảo mật cho một hệ thống mạng;
Trình bày được các hình thức tấn cơng vào hệ thống mạng;
Mơ tả được cách thức mã hố thơng tin;
Trình bày được q trình NAT trong hệ thống mạng;
Mô tả được nguyên tắc hoạt động của danh sách truy cập;
Liệt kê được danh sách truy cập trong chuẩn mạng TCP/IP;
Phân biệt được các loại virus thơng dụng và cách phịng chống
virus.
- Về kỹ năng:
Cài đặt các biện pháp cơ bản phòng chống tấn cơng trong mạng;
Cấu hình được phương thức NAT trong hệ thống mạng;
Cấu hình được danh sách truy cập trong hệ thống mạng;
Đánh giá phát hiện khi bị tấn công trong mạng;
Khắc phục sự cố mạng khi bị tấn công.
- Về năng lực tự chủ và trách nhiệm:
Tuân thủ các quy đinh trong phòng thực hành, rèn luyện tính cẩn
thận, chính xác, kiên trì trong cơng việc và hướng dẫn của giáo viên;
Tác phong công nghiệp và làm việc theo nhóm. Đảm bảo an tồn
cho người và thiết bị tại nơi làm việc.
III. Nội dung mô đun:
1. Nội dung tổng quát và phân bổ thời gian:
Số TT Tên chương/mục
I
Tổng quan về bảo mật và an tồn mạng
II
Các khái niệm chung
Nhu cầu bảo vệ thơng tin
Mã hóa thơng tin
Đặc điểm chung
Mã hóa cổ điển
4
III
IV
V
VI
Mã hóa dùng khóa cơng khai
NAT
Giới thiệu
Các kỹ thuật NAT cổ điển
NAT trong window server
Bảo vệ mạng bằng tường lửa
Các kiểu tấn cơng
Các mức bảo vệ an tồn
Internet Firewall
Danh sách điều khiển truy cập
Khái niệm về danh sách truy cập
Nguyên tắc hoạt động của danh sách truy cập
Virus và cách phòng chống
Giới thiệu tổng quan về virus
Cách thức lây lan và phân loại virus
Ngăn chặn sự xâm nhập virus
5
CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được lịch sử phát triển và sự cần thiết của an tồn thơng tin;
- Trình bày được khái niệm Virus và các biện pháp phòng chống virus;
Kỹ năng: Thực hiện các thao tác an toàn thơng tin với máy tính.
Thái độ:
- Cẩn thận, tỉ mỉ, tn thủ nội qui vệ sinh và an tồn phịng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
1.1
Mở đầu (Giới thiệu về an toàn thơng tin)
Khái niệm an tồn thơng tin
An tồn thơng tin là: là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ
tầng thông tin.
- Mục tiêu hướng tới.
- Đảm bảo an tồn thơng tin
Các ngun tắc nền tảng của ATTT (mơ hình C-I-A)
- Tính bí mật;
- Tính tồn vẹn;
- Tính sẵn sàng
u cầu của một hệ thống thơng tin an tồn và bảo mật
- Tính bảo mật.
- Tính chứng thực
- Tính khơng từ chối
Vai trị của mật mã trong việc bảo mật thông tin trên mạng.
6
1.2
Sự cần thiết để bảo vệ thông tin.
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem
lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng
chứa rất nhiều điểm yếu và rủi do
Mục đích của an tồn thơng tin
- Bảo vệ tài ngun của hệ thống
- Bảo đảm tính riêng tư
1.3 Virus và các biện pháp phịng chống virus;
Khái niệm virus máy tính
- Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,
file khác mà người sữ dụng không hay biết.
- Worm
- Trojan Horse
- Spyware
- Adware
Các cách lây nhiễm
- Lây nhiễm theo cách cổ điển;
- Lây nhiễm qua thư điện tử;
- Lây nhiêm qua mạng Internet
Các cách phòng chống
- Sử dụng phần mềm diệt virus.
- Sử dụng tường lửa cá nhân;
- Cập nhật các bản vá lỗi của hệ điều hành;
- Vận dụng kinh nghiệm sử dụng máy tính;
- Bảo vệ dữ liệu máy tính
1.4. Các đặc trưng xâm nhập
Các hình thức xâm nhập hệ thống thơng tin:
7
- Interruption (Gián đoạn);
- Interception (ngăn chặn);
- Modification (can thiệp);
- Fabrication (mạo danh).
Các phương thức tấn công
- Tấn công từ chối dịch vụ (Denial of Service);
- Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS)
- Tấn công giả danh (Spoofing attack);
- Tấn công xen giữa (Man-in-the-middle attack);
- Tấn công phát lại (Replay attack);
- Nghe lén (Sniffing attack);
- Tấn công mật khẩu (Password attack).
1.5. Đặc trưng kỹ thuật của an toàn bảo mật
Yêu cầu của một hê thống thơng tin an tồn và bảo mật
Phần trên đã trình bày các hình thức tấn cơng, một hệ truyền tin được gọi là an
tồn và bảo mật thì phải có khả năng chống lại được các hình thức tấn cơng trên.
Như vậy hệ truyền tin phải có các đặt tính sau:
1) Tính bảo mật (Confidentiality)
2) Tính chứng thực (Authentication)
3) Tính khơng từ chối (Nonrepudiation)
Vai trị của mật mã trong việc bảo mật thơng tin
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của
bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật
(confidentiality), tính chứng thực (authentication) và tính khơng từ chối (nonrepudiation) của một hệ truyền tin.
Các giao thức thực hiện bảo mật.
8
Sau khi tìm hiểu về mật mã, chúng ta sẽ tìm hiểu về cách ứng dụng
chúng vào thực tế thơng qua một số giao thức bảo mật phổ biến hiện nay là:
Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.
Chuẩn chứng thực X509: dùng trong mã hóa khóa cơng khai.
Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến
trong Web và thương mại điện tử.
PGP và S/MIME: bảo mật thư điện tử email.
Bảo vệ hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài
Để thực hiện việc bảo vệ này, người ta dùng khái niệm “kiểm soát truy cập”
(Access Control). Khái niệm kiểm soát truy cập này có hai yếu tố sau:
Chứng thực truy cập (Authentication): xác nhận rằng đối tượng (con người hay
chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: để sử dụng
máy tính thì trước tiên đối tượng phải logon vào máy tính bằng username và
password. Ngồi ra, cịn có các phương pháp chứng thực khác như sinh trắc học
(dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…).
Phân quyền (Authorization): các hành động được phép thực hiện sau khi đã
truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào
hệ điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc
bạn chỉ có quyền đọc file mà khơng có quyền xóa file.
9
CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU
CỦA MẠNG
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được giao thức TCP/IP và các lỗ hổng bảo mật trên mạng
Internet;
- Trình bày được các phương thức tân cơng trên mạng và các biện pháp
phòng tránh.
Kỹ năng: Thực hiện cách cấu hình phát hiện và hạn chế tấn cơng trên mạng
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an tồn phịng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
2.1.Giao thức TCP/IP
Giới thiệu mơ hình TCP/IP
Lịch sử phát triển của TCP/IP:
- Đầu năm 1980, bộ giao thức TCP/IP ra đời làm giao thức chuẩn cho mạng
ARPANET và các mạng của DoD.
Khái niệm và lịch sử phát triển
TCP/IP là bộ các giao thức có vai trị xác định q trình liên lạc trong
mạng và quan trọng hơn cả là định nghĩa “hình dạng” của một đơn vị dữ liệu và
những thơng tin chứa trong nó để máy tính đích có thể dịch thơng tin một cách
chính xác.
Kiến trúc TCP/IP
Bộ giao thức TCP/IP đƣợc phân làm 4 tầng:
- Tầng ứng dụng (Application Layer)
10
- Tầng giao vận (Transport Layer)
- Tầng Internet (Internet Layer)
- Tầng truy cập mạng (Network access Layer)
Các giao thức tương ứng với các lớp trong mơ hình TCP/IP
- Các giao thức trong lớp ứng dụng;
- Các giao thức trong lớp vận chuyển;
- Các giao thức trong lớp Mạng;
- Các giao thức trong lớp truy cập mạng.
Q trình đóng gói dữ liệu trong mơ hình TCP/IP
Q tình đóng gói dữ liệu được tiến hành theo nhiều bước và được chi
tiết hóa bằng hình vẽ.
Giao thức TCP và UDP
– TCP cung cấp luồng dữ liệu tin cậy giữa 2 trạm, nó sử dụng các cơ chế như
chia nhỏ các gói tin ở tầng trên thành các gói tin có kích thước thích hợp cho
tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian timeout để đảm bảo
bên nhân biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy nên
tầng trên sẽ khơng cần quan tâm đến nữa.
– UDP cung cấp một dịch vụ rất đơn giản hơn cho tầng ứng dụng . Nó chỉ gửi
dữ liệu từ trạm này tới trạm kia mà khơng đảm bảo các gói tin đến được tới đích.
Các cơ chế đảm bảo độ tin cậy được thực hiện bởi tầng trên Tầng ứng dụng.
2.2.
Lỗ hổng bảo mật trên Internet
Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn cơng có thể
xâm nhập trái phép vào hệ thống.
Các loại lỗ hổng trong bảo mật:
- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial
of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ,
11
gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền truy
cập hệ thống.
- Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ
thống mà khơng cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin.
- Lỗ hổng loại A: Cho phép người ngồi hệ thống có thể truy cập bất hợp pháp
vào hệ thống, có thể phá hủy tồn bộ hệ thống.
2.3.
Một số phương thức tấn cơng
- Tấn công trực tiếp;
- Kỹ thuật đánh lừa (Social Engineering);
- Kỹ thuật tấn công vào vùng ẩn;
- Tấn công vào các lỗ hổng bảo mật;
- Nghe trộm;
- Kỹ thuật giả mạo địa chỉ;
- Tấn cơng vào hệ thống có cấu hình khơng an tồn;
- Tấn cơng dùng Cookies;
- Can thiệp vào tham số trên URL;
- Vơ hiệu hóa dịch vụ;
- Một số kiểu tấn công khác.
2.4.
Các biện pháp phát hiện hệ thống bị tấn công
Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử
dụng trong quá trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên
một hệ thống máy tính hoặc mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có
thể xảy ra, đó là các vi phạm hoặc các mối đe dọa sắp xảy ra xâm phạm chính
sách bảo mật máy tính.
Hệ thống phát hiện xâm nhập trái phép.
12
Giới thiệu về hệ thống phát hiện xâm nhập
Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một
thiết bị phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám
sát lưu thơng mạng, tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng
máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và
đưa ra cảnh báo.
Phân loại IDS
- NIDS – Hệ thống IDS dựa trên mạng;
- IDS dựa trên máy chủ;
- IDS dựa trên ứng dụng;
- IDS dựa trên dấu hiệu;
- IDS dựa trên thống kê sự bất thường.
Cơ chế hoạt động của IDS
- Phát hiện dựa trên sự bất thường;
- Phát hiện thơng qua giao thức (Protocol);
- Phát hiện nhờ q trình tự học.
2.5.Các biện pháp phòng ngừa
Tường lửa (Firewall)
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự
truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không
hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet.
Hệ thống Proxy Server
Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình
ứng dụng) đóng vai trị trung gian cho các yêu cầu giữa người dùng tìm kiếm tài
nguyên với hệ thống máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và
Internet.
13
Tạo đường hầm (Tuneling)
Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung
gian (thường là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính
này đến máy tính qua hệ thống mạng. Kỹ thuật này cho phép mã hóa và tiếp
nhận đối với tồn bộ gói tin IP. Các cổng bảo mật sử dụng kỹ thuật này để cung
cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng.
Thiết bị kiểm soát nội dung SCM (Secure Content Management).
Secure Content Management (SCM) là một thiết bị mạng chuyên dụng
được đặt sau tường lửa và trên một vùng mạng để bảo vệ cho tồn bộ hệ thộng
phía sau.
Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính
kèm, email hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,…
để tìm Virus/Spam, Spyware, Keyloggerm Phishing,…
CHƯƠNG 3: KỸ THUẬT MÃ HÓA
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được khái niệm mã hóa và giải mã.
- Trình bày được các thuật tốn mã hóa DES, phương pháp mã hóa cơng
khai.
Kĩ năng: Mơ tả được hoạt động của các hệ thống lai.
Thái độ:
- Cẩn thận, tỉ mỉ, tn thủ nội qui vệ sinh và an tồn phịng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
3.1.
Giới thiệu
Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật
thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin
14
bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới
hiểu được.
3.2. Khái niệm về mã hóa và giải mã
Q trình chuyển thông tin gốc thành thông tin mật theo một thuật tốn nào
đó được gọi là q trình mã hố (encryption). Q trình biến đổi thơng tin mật
về dạng thơng tin gốc ban đầu gọi là quá trình giải mã (decryption).
Đây là hai q trình khơng thể tách rời của một kỹ thuật mật mã bởi vì mật
mã (giấu thơng tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thơng
tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã
hóa và giải mã.
Các thành phần trong một hệ thống mật mã điển hình bao gồm:
-Plaintext: là thơng tin gốc cần truyền đi giữa các hệ thống thông tin
-Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thơng tin mật
từ thơng tin gốc.
-Key: khóa mật mã, gọi tắt là khóa. Đây là thơng tin cộng thêm mà thuật tóan
mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật.
-Ciphertext: thông tin đã mã hóa (thơng tin mật). Đây là kết quả của thuật tốn
mã hóa.
-Decryption algorithm: Thuật tóan giải mã. Đầu vào của thuật tóan này là thơng
tin đã mã hóa (ciphertext) cùng với khóa mật mã. Đầu ra của thuật tóan là thơng
tin gốc (plaintext) ban đầu.
3.3. Kỹ thuật mã hóa khóa bí mật
Kỹ thuật mã hố được chia thành hai loại: mã hoá dùng khoá đối xứng
(symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key
encryption) như sẽ trình bày trong các phần tiếp theo.
Các tiêu chí đặc trưng của một hệ thống mã hóa:
Một hệ thống mã hóa bất kỳ được đặc trưng bởi 3 tiêu chí sau đây:
-Phương pháp mã (operation): có hai phương pháp mật mã bao gồm thay thế
(substitution) và chuyển vị (transposition).
-Số khóa sử dụng (number of keys): nếu phía mã hóa (phía gởi) và phía giải mã
(phía nhận) sử dụng chung một khóa, ta có hệ thống mã dùng khố đối xứng
(symmetric key) - gọi tắt là mã đối xứng hay cịn có các tên gọi khác như mã một
khóa (single-key), mã khóa bí mật (secret key) hoặc mã quy ước (conventional
cryptosystem).
15
-Cách xử lý thông tin gốc (mode of cipher): thông tin gốc có thể được xử lý
liên tục theo từng phần tử , khi đó ta có hệ thống mã dịng (stream cipher).
Tấn cơng một hệ thống mật mã
Tấn cơng (attack) hay bẻ khoá (crack) một hệ thống mật mã là q trình
thực hiện việc giải mã thơng tin mật một cách trái phép.
Kẻ tấn cơng thường khơng có đầy đủ 3 thơng tin này, do đó, thường cố
gắng để giải mã thông tin bằng hai phương pháp sau:
-Phương pháp phân tích mã (cryptanalysis): dựa vào bản chất của thuật tóan
mã hóa, cùng với một đọan thơng tin gốc hoặc thơng tin mật có được, kẻ tấn
cơng tìm cách phân tích để tìm ra tịan bộ thơng tin gốc hoặc tìm ra khóa, rồi sau
đó thực hiện việc giải mã tồn bộ thơng tin
mật.
-Phương pháp thử tuần tự (brute-force): bằng cách thử tất cả các khóa có thể,
kẻ tấn cơng có khả năng tìm được khóa đúng và do đó giải mã được thông tin
mật.
Hai thành phần đảm bảo sự an toàn của một hệ thống mật mã là thuật toán mã
(bao gồm thuật toán mã hoá và thuật toán giải mã) và khố.
Trong thực tế, thuật tóan mã khơng được xem như một thơng tin bí mật,
bởi vì mục đích xây dựng một thuật tóan mã là để phổ biến cho nhiều người
dùng và cho nhiều ứng dụng khác nhau, hơn nữa việc che giấu chi tiết của một
thuật tóan chỉ có thể tồn tại trong một thời gian ngắn, sẽ có một lúc nào đó, thuật
tóan này sẽ được tiết lộ ra, khi đó tịan bộ hệ thống mã hóa trở nên vơ dụng. Do
vậy, tất cả các tình huống đều giả thiết rằng kẻ tấn cơng đã biết trước thuật tóan
mã.
Như vậy, thành phần quan trọng cuối cùng của một hệ thống mã là khóa
của hệ thống, khóa này phải được giữ bí mật giữa các thực thể tham gia nên
được gọi là khóa bí mật.
3.4.
Giới thiệu mã hóa DES
16
Kỹ thuật mật mã đối xứng được đặc trưng bởi việc sử dụng một khóa
duy nhất cho cả q trình mã hóa và giải mã thơng tin. Bằng một cách an tịan
nào đó, khóa chung này phải được trao đổi thống nhất giữa bên gởi và bên nhận
(tức bên mã hóa và bên giải mã), đồng thời được giữ bí
mật trong suốt thời gian sử dụng.
Kỹ thuật mật mã đối xứng còn được gọi là mật mã quy ước
conventional encryption)hoặc mật mã dùng khóa bí mật (secret key encryption).
Thuật tốn mật mã DES
DES (Data Encryption Standard) là một thuật tóan mã dựa trên cấu trúc
Feistel được chuẩn hóa năm 1977 bởi cơ quan chuẩn hóa Hoa kỳ (NIST –
National Institute of Standards and Technology).
Cơ chế thực hiện mã hóa DES được mơ tả ở hình:
DES xác định các thơng số của cấu trúc Feistel như sau:
- Kích thước khối: 64 bit
- Chiều dài khoá: 64 bit, thực ra là 56 bit như sẽ trình bày sau đây
- Số vịng lặp: 16 vịng
- Thuật tốn sinh khố phụ: kết hợp phép dịch trái và hoán vị
- Hàm F: kết hợp các phép XOR, hốn vị và thay thế (S-box).
Thơng số của DES được trình bày sau đây:
-Phép hốn vị khởi đầu (IP);
-Hàm F;
-Thuật tốn sinh khố phụ.
Thuật tóan mật mã DES là một thuật tóan dựa trên cấu trúc Feistel
nhưng có cách thực hiện phức tạp, được thiết kế dựa trên các thao tác xử lý bit
(bitwise operartions) như phép XOR, phép dịch, hốn vị, … do đó thích hợp với
các thiết bị mã hoá bằng phần cứng. Thuật toán DES khơng dễ phân tích, và
trong một thời gian dài đã được giữ bí mật.
Thuật tốn mật mã Triple DES
17
Tripple DES hay DES bội ba (viết tắt là 3DES hoặc TDES) là một phiên
bản cải tiến của DES. Nguyên tắc của Triple DES là tăng chiều dài khoá của
DES để tăng độ an tồn, nhưng vẫn giữ tính tương thích với thuật tốn DES cũ.
Triple DES với hai khố là một thuật tốn mật mã an tồn, tránh được
các tấn công xen giữa và đã được sử dụng thay thế DES trong nhiều ứng dụng
(ANS X9.17, ISO 8732, …).
Một phiên bản khác của Triple DES là sử dụng cả 3 khoá khác nhau
K1, K2, K3 với cùng cấu trúc như trên. Khi đó chiều dài khố của thuật tốn là
K1 + K2 + K3 = 168 bit. Khi cần thiết phải đảm bảo tính tương thích với các
ứng dụng DES cũ thì đặt K1 = K2 hoặc K3 = K2. Triple DES 3 khoá cũng đã
được ứng dụng trong nhiều dịch vụ, đặc biệt là PGP, S/MIME Thuật toán mật
mã AES
Triple DES đã khắc phục được các điểm yếu của DES và hoạt động ổn
định trong nhiều ứng dụng trên mạng Internet. Tuy nhiên, Triple DES vẫn còn
chứa những nhược điểm của DES như tính khó phân tích, chỉ thích hợp với thực
thi bằng phần cứng chứ khơng thích hợp cho thực thi bằng phần mềm, kích
thước khối cố định 64 bit, …
Các thuật toán mật mã đối xứng khác
Ngồi 2 thuật tốn mật mã hóa tiêu chuẩn ở trên (Triple DES được xem
như là một phiên bản nâng cấp của DES chứ khơng phải một thuật tốn độc lập),
có nhiều thuật tốn khác cũng đã chứng minh được tính hiệu quả của nó và được
sử dụng trong một số ứng dụng khác nhau:
- IDEA (International Data Encryption Algorithm) là một thuật toán mật mã
đối xứng được phát triển ở Thụy điển năm 1991.
-Blowfish được phát triển năm 1993, bởi một người nghiên cứu mật mã hóa độc
lập (Bruce Schneier) và cũng đã nhanh chóng được sử dụng song song với giải
thuật mã hóa DES.
-RC4 và RC5 là giải thuật mã hóa đối xứng được thiết kế bởi Ron Rivest (một
trong những người phát minh ra giải thuật mã hóa bất đối xứng RSA) vào năm
18
1988 và 1994.
-CAST-128 là một thuật toán khác được thiết kế năm 1997 bởi Carlisle Adams
và Stafford Tavares.
Ưu, nhược điểm của mã hóa đối xứng
3.5.
- Tác dụng đồng loạt. Khi ta thay đổi 1 bit trong khoá sẽ gây ra tác động đồng
loạt làm thay đổi nhiều bit trên bản mã. Đây là tính chất mong muốn của khố
trong thuật tốn mã hố.
- Sức mạnh của DES – kích thước khố. Độ dài của khố trong DES là 56 bít
có 256 = 7.2 x 1016 giá trị khác nhau. Đây là con số rất lớn nên tìm kiếm duyệt rất
khó khăn.
- Sức mạnh của DES – tấn công thời gian. Đây là dạng tấn công vào cài đặt
thực tế của mã. Ở đây sử dụng hiểu biết về quá trình cài đặt thuật tốn mà suy ra
thơng tin về một sơ khố con hoặc mọi khố con.
- Sức mạnh của DES – tấn cơng thám mã. Có một số phân tích thám mã trên
DES, từ đó đề xuất xây dựng một số cấu trúc sâu về mã DES. Rồi bằng cách thu
thập thơng tin về mã, có thể đốn biết được tất cả hoặc một số khoá con đang
dùng.
- Thám mã sai phân: Thám mã sai phân là tấn công thống kê chống lại các mã
Fiestel. Mã Fiestel dùng các cấu trúc mã chưa được sử dụng trước kia như thiết
kế S-P mạng có đầu ra từ hàm f chịu tác động bởi cả đầu vào và khố. Do đó
khơng thể tìm lại được giá trị bản rõ mà khơng biết khố.
- Thám mã tuyến tính: Đây là một phát hiện mới khác. Nó cũng dùng phương
pháp thống kê. Ở đây cần lặp qua các vòng với xác suất giảm, nó được phát triển
bởi Matsui và một số người khác vào đầu những năm 90.
3.6.
Cơ sở hạ tầng khóa cơng khai
Cơ sở hạ tầng khóa cơng khai PKI (Public Key Infrastructure) là một hệ
thống hạ tầng bao gồm các thiết bị phần cứng, chương trình phần mềm, các
chính sách, thủ tục và con người cần thiết để tạo ra, quản lý, lưu trữ và phân
19
phối các chứng thực khóa phục vụ cho mục đích phổ biến khóa cơng khai của
các thực thể thơng tin.
Mục tiêu của PKI là cung cấp một môi trường làm việc phối hợp, trong đó,
thiết bị, phần mềm của nhiều nhà sản xuất khác nhau có thể cùng sử dụng chung
một cấu trúc chứng thực khóa.
- Các thành phần của PKI:
End Entity (thực thể đầu cuối): là người sử dụng, một phần mềm hoặc một
thiết bị tham gia vào q trình trao đổi thơng tin sử dụng mã hóa khóa cơng
khai.
Certificate Authority (CA): là thực thể tạo ra các chứng thực khóa.
Registration Authority (RA): là một thành phần tùy chọn của PKI, có chức
năng xử lý một số công việc quản lý nhằm giảm tải cho CA, chẳng hạn như
đăng ký thực thể đầu cuối, kiểm chứng các thực thể đầu cuối, tạo ra các cặp
khóa publicprivate, …
Repository: Kho lưu trữ chứng thực khóa và cung cấp chứng thực khóa cho
các thực thể đầu cuối khi có yêu cầu.
Certificate revocation list (CRL) Issuer: Một chứng thực khóa khi đã được tạo
ra và phổ biến thì khơng có nghĩa là nó sẽ được tồn tại vĩnh viễn.
- Các chức năng quản lý của PKI:
Đăng ký (Registration);
Khởi tạo (Initialization);
Chứng thực (Certification);
Phục hồi khóa (Key-pair recovery);
Cập nhật khóa (Key-pair update);
Yêu cầu thu hồi chứng thực khóa (Revocation request).
20
CHƯƠNG 3: KỸ THUẬT MÃ HÓA (TIẾP)
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày được các đặc điểm của mã hóa cơng khai RSA.
- So sánh được các hệ khóa bí mật và khóa cơng khai.
Kĩ năng: Mơ tả được hoạt động của các hệ thống lai.
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phịng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG:
3.7.
Mã khóa cơng khai RSA
(RIVEST SHAMIR ADELMAN)
Đặc trưng của kỹ thuật mật mã bất đối xứng là dùng 2 khóa riêng biệt cho
hai q trình mã hóa và giải mã, trong đó có một khóa được phổ biến cơng khai
(public key hay PU) và khóa cịn lại được giữ bí mật (private key hay PR).
Thuật tốn mật mã bất đối xứng dựa chủ yếu trên các hàm toán học hơn
là dựa vào các thao tác trên chuỗi bit. Mật mã hóa bất đối xứng cịn được gọi
bằng một tên thơng dụng hơn là mật mã hóa dùng khóa cơng khai (public key
encryption).
Thuật tốn mật mã RSA
RSA là thuật toán mật mã bất đối xứng được xây dựng bởi Ron Rivest, Adi
Shamir và Len Adleman tại viện cơng nghệ Massachusetts (MIT), do đó được
đặt tên là Rivest – Shamir –Adleman hay RSA. Thuật toán này ra đời năm 1977
và cho đến nay đã được ứng dụng trong nhiều lĩnh vực.
RSA là một thuật toán mật mã khối, kích thước khối thơng thường là
1024 hoặc 2048 bit. Thơng tin gốc của RSA được xử lý như các số ngun. Ví
dụ, khi chọn kích thước khối của thuật tốn là 1024 bit thì số ngun này có giá
trị từ 0 đến 21024 – 1, tương đương với số thập phân có 309 chữ số.
21
Cơ sở lý thuyết của thuật toán RSA
- Hàm Euler: Cho một số nguyên dương n, định nghĩa (n) là số các số nguyên
dương nhỏ hơn n và là số nguyên tố cùng nhau với n. Ví dụ: cho n = 8, các số
nguyên dương nhỏ hơn 8 và là số nguyên tố cùng nhau với 8 là các số 1, 3, 5, 7,
do đó (8) = 4. (n) được gọi là hàm Euler của n.
- Định lý Euler: cho a và n là hai số nguyên tố cùng nhau, ta có a(n) = 1 mod
n.
Các bước thực hiện của thuật toán RSA.
1-Tạo khoá:
Chọn p, q (p và q là số nguyên tố, p q)
Tính N = p.q
Tính (N) = (p – 1) (q – 1)
Chọn e sao ước số chung lớn nhất của e và (N) là 1
Chọn d sao cho e.d mod (N) = 1
Cặp khoá RSA được tạo ra là PU = (N, e), PR = (N, d)
2- Mã hoá:
C = Me mod N (M là số nguyên nhỏ hơn N)
3- Giải mã:
M = Cd mod N
Độ an tồn của RSA
Theo lý thuyết, hệ thống RSA có thể bị tấn công bằng những phương thức sau
đây:
Brute-force attack: tìm lần lượt khố riêng PR
Mathematical attack: xác định p và q bằng cách phân tích N thành tích của
các thừa số nguyên tố rồi từ đó xác định e và d.
Timing attack: dựa trên thời gian thực thi của thuật toán giải mã.
Chosen ciphertext attack: sử dụng các đọan thông tin mật (ciphertext) đặc
biệt để khôi phục thông tin gốc.
22
3.8.
Các hệ thống lai
Trên thực tế hệ thống mã hóa khóa cơng khai chưa thể thay thể hệ thống
mã hóa khóa bí mật được, nó ít được sử dụng để mã hóa dữ liệu mà thường dùng
để mã hóa khóa. Hệ thống mã hóa khóa lai ra đời là sự kết hợp giữa tốc độ và
tính an tồn của hai hệ thống mã hóa ở trên. Dưới đây là mơ hình của hệ thống
mã hóa lai.
3.9.
So sánh hệ khóa bí mật và khóa cơng khai
- Mã khóa bí mật (mã hóa đối xứng-mã hóa khóa riêng):
+ Sử dụng cùng 1 khóa bởi người gửi (cho việc mã hóa) và người nhận (cho việc
giải mã).
+ Thuật toán được chấp nhận rộng rãi nhất cho việc mã hóa khóa bí mật là thuật
tốn chuẩn mã hóa dữ liệu (DES). Giao thức SET chấp nhận thuật tốn DES với
chìa khóa 64 bit của nó. Thuật tốn này có thể phá mã được nhưng phải mất
nhiều năm với chi phí hàng triệu đơ la.
+ Người gửi và người nhận thông điệp phải chia sẻ 1 bí mật, gọi là chìa khóa.
- Mã khóa cơng khai (mã hóa khơng
đối xứng ):
+ Sử dụng 2 khóa khác nhau, 1 khóa cơng khai (để mã hóa thơng điệp tất cả
người sử dụng được phép biết) và một khóa riêng (để giải mã thơng điệp chỉ có
người sở hữu nó biết).
+ Thuật tốn được chấp nhận rộng rãi nhất cho việc mã hóa cơng khai là thuật
tốn RSA với nhiều kích cỡ khác nhau (1024 bit). Thuật tốn này khơng bao giờ
bị phá bởi các hacker, do đó nó được xem là phương pháp mã hóa an tồn nhất
được biết cho đến nay.
+ Thơng điệp được mã hóa chỉ có thể được giải mã với chìa khóa riêng của
người nhận.
23
CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiến thức:
- Trình bày các khái niệm cơ bản về chữ kí điện tử và chứng chỉ số
- Trình bày hoạt động và phân loại được các loại chữ kí điện tử số.
Kĩ năng: Thực hiện các bài toán về thuật toán DSA và giải thuật bâm bảo mật
SHA
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an tồn phịng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
4.1.
Giới thiệu
Ngày nay, với sự phát triển bùng nổ của công nghệ thơng tin nói chung
và Internet nói riêng, cơng việc kinh doanh của các doanh nghiệp trở nên thuận
lợi hơn,
tiết kiệm được rất nhiều thời gian cũng như các thủ tục hành chính. Tuy nhiên,
Internet cũng mang lại nhiều rủi ro cho các tổ chức, cá nhân, mà một trong
những vấn đề lớn
nhất và vấn đề gian lận vì vậy chữ ký số đã được ra đời để đảm bảo sự an toàn
trong việc giao dịch số.
4.2.
Một số khái niệm cơ bản
- Chữ ký điện tử: là một cơ chế xác thực cho phép người tạo ra thông tin
(message creator) gắn thêm một đọan mã đặc biệt vào thông tin có tác dụng như
một chữ ký. Chữ ký được tạo ra bằng cách áp dụng một hàm băm lên thông gốc,
sau
đó
mã
hóa
thơng
tin
24
gốc
dùng
khóa
riêng
của
người gởi. Chữ ký số có mục đích đảm bảo tính tịan vẹn về nguồn gốc và nội
dung của thơng tin.
- Chứng chỉ số là một tệp tin điện tử dùng để xác minh danh tính một cá nhân,
một máy chủ, một cơng ty... trên Internet. Nó giống như bằng lái xe, hộ chiếu,
chứng minh thư hay những giấy tờ xác minh cá nhân. Để có chứng minh thư,
bạn phải được cơ quan Công An sở tại cấp.
4.3.
Vấn đề xác thực và chữ kí điện tử.
Xác thực (Authentication protocols) là một hành động nhằm thiết lập, có
nghĩa là những lời khai báo do người nào đố đưua ra hoặc về vật đó là sự thật.
Xác thực một đối tượng cịn có nghĩa là cơng nhận nguồn gốc của đối tượng,
trong khi, xác thực một người thường bao gồm việc thẩm tra nhận dạng của họ.
Việc xác thực thường phụ thuộc vào một hoặc nhiều nhận tố xác thức
(authentication factors) để chứng minh cụ thể.
Phân loại xác thực:
- Xác thực thực thể (Entity Authentication);
- Xác thực dữ liệu (Data Authentication).
Các nhân tố xác thực:
- Những cái mà người đung sở hữu bẩm sinh;
- Những cái gì người dùng có:
- Những gì người dùng biết.
4.4.
Hoạt động của một hệ thống chữ kí điện tử
Giống như một chữ ký thông thường (chữ ký bằng tay), một chữ ký số
phải có đầy đủ các
thuộc tính sau đây:
Phải xác nhận chính xác người ký và ngày giờ phát sinh chữ ký.
Phải xác thực nội dung thông tin ngay tại thời điểm phát sinh chữ ký.
Phải có khả năng cho phép kiểm chứng bởi một người thứ 3 để giải quyết các
25
