intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Bài giảng kỹ thuật an toàn mạng

Chia sẻ: Nguyễn Thành Kiên Kiên | Ngày: | Loại File: PDF | Số trang:13

261
lượt xem
115
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trước khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và các biện pháp bảo vệ cũng như thiết lập các chính sách vê bảo mật..

Chủ đề:
Lưu

Nội dung Text: Bài giảng kỹ thuật an toàn mạng

  1. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng C¸c vÊn ®Ò vÒ an ninh an toμn m¹ng I. Mét sè kh¸i niÖm vÒ b¶o mËt Tr−íc khi t×m hiÓu c¸c vÊn ®Ò liªn quan ®Õn ph−¬ng thøc ph¸ ho¹i vµ c¸c biÖn ph¸p b¶o vÖ còng nh− thiÕt lËp c¸c chÝnh s¸ch vÒ b¶o mËt, phÇn sau ®©y sÏ tr×nh bµy mét sè kh¸i niÖm liªn quan ®Õn b¶o mËt th«ng tin trªn m¹ng Internet. 1 §èi t−îng tÊn c«ng m¹ng (Intruder): Lµ nh÷ng c¸ nh©n hoÆc c¸c tæ chøc sö dông c¸c kiÕn thøc vÒ m¹ng vµ c¸c c«ng cô ph¸ ho¹i (phÇn mÒm hoÆc phÇn cøng) ®Ó dß t×m c¸c ®iÓm yÕu, lç hæng b¶o mËt trªn hÖ thèng, thùc hiÖn c¸c ho¹t ®éng x©m nhËp vµ chiÕm ®o¹t tµi nguyªn m¹ng tr¸i phÐp. Mét sè ®èi t−îng tÊn c«ng m¹ng lµ: - Hacker: Lµ nh÷ng kÎ x©m nhËp vµo m¹ng tr¸i phÐp b»ng c¸ch sö dông c¸c c«ng cô ph¸ mËt khÈu hoÆc khai th¸c c¸c ®iÓm yÕu cña c¸c thµnh phÇn truy nhËp trªn hÖ thèng - Masquerader: Lµ nh÷ng kÎ gi¶ m¹o th«ng tin trªn m¹ng. Mét sè h×nh thøc gi¶ m¹o nh− gi¶ m¹o ®Þa chØ IP, tªn miÒn, ®Þnh danh ng−êi dïng ... - Eavesdropping: Lµ nh÷ng ®èi t−îng nghe trém th«ng tin trªn m¹ng, sö dông c¸c c«ng cô sniffer; sau ®ã dïng c¸c c«ng cô ph©n tÝch vµ debug ®Ó lÊy ®−îc c¸c th«ng tin cã gi¸ trÞ Nh÷ng ®èi t−îng tÊn c«ng m¹ng cã thÓ nh»m nhiÒu môc ®Ých kh¸c nhau: nh− ¨n c¾p nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, ph¸ ho¹i hÖ thèng m¹ng cã chñ ®Þnh, hoÆc còng cã thÓ chØ lµ nh÷ng hµnh ®éng v« ý thøc, thö nghiÖm c¸c ch−¬ng tr×nh kh«ng kiÓm tra cÈn thËn ... 2 C¸c lç hæng b¶o mËt: C¸c lç hæng b¶o mËt lµ nh÷ng ®iÓm yÕu kÐm trªn hÖ thèng hoÆc Èn chøa trong mét dÞch vô mµ dùa vµo ®ã kÎ tÊn c«ng cã thÓ x©m nhËp tr¸i phÐp ®Ó thùc hiÖn c¸c hµnh ®éng ph¸ ho¹i hoÆc chiÕm ®o¹t tµi nguyªn bÊt hîp ph¸p. Nguyªn nh©n g©y ra nh÷ng lç hæng b¶o mËt lµ kh¸c nhau: cã thÓ do lçi cña b¶n th©n hÖ thèng, hoÆc phÇn mÒm cung cÊp, hoÆc do ng−êi qu¶n trÞ yÕu kÐm kh«ng hiÓu s©u s¾c c¸c dÞch vô cung cÊp ... GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 1
  2. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng Møc ®é ¶nh h−ëng cña c¸c lç hæng lµ kh¸c nhau. Cã nh÷ng lç hæng chØ ¶nh h−ëng tíi chÊt l−îng dÞch vô cung cÊp, cã nh÷ng lç hæng ¶nh h−ëng nghiªm träng tíi toµn bé hÖ thèng ... II. Mét sè h×nh thøc tÊn c«ng m¹ng Cã thÓ tÊn c«ng m¹ng theo mét trong c¸c h×nh thøc sau ®©y: - Dùa vµo nh÷ng lç hæng b¶o mËt trªn m¹ng: Nh÷ng lç hæng nµy cã thÓ lµ c¸c ®iÓm yÕu cña dÞch vô mµ hÖ thèng ®ã cung cÊp; VÝ dô nh÷ng kÎ tÊn c«ng lîi dông c¸c ®iÓm yÕu trong c¸c dÞch vô mail, ftp, web ... ®Ó x©m nhËp vµ ph¸ ho¹i H×nh 1 - C¸c h×nh thøc tÊn c«ng m¹ng - Sö dông c¸c c«ng cô ®Ó ph¸ ho¹i: VÝ dô sö dông c¸c ch−¬ng tr×nh ph¸ kho¸ mËt khÈu ®Ó truy nhËp vµo hÖ thèng bÊt hîp ph¸p; Lan truyÒn virus trªn hÖ thèng; cµi ®Æt c¸c ®o¹n m· bÊt hîp ph¸p vµo mét sè ch−¬ng tr×nh. Nh−ng kÎ tÊn c«ng m¹ng còng cã thÓ kÕt hîp c¶ 2 h×nh thøc trªn víi nhau ®Ó ®¹t ®−îc môc ®Ých. GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 2
  3. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng - Møc 1 (Level 1): TÊn c«ng vµo mét sè dÞch vô m¹ng: nh− Web, Email, dÉn ®Õn c¸c nguy c¬ lé c¸c th«ng tin vÒ cÊu h×nh m¹ng. C¸c h×nh thøc tÊn c«ng ë møc nµy cã thÓ dïng DoS hoÆc spam mail. - Møc 2 (Level 2): KÎ ph¸ ho¹i dïng tµi kho¶ng cña ng−êi dïng hîp ph¸p ®Ó chiÕm ®o¹t tµi nguyªn hÖ thèng; (Dùa vµo c¸c ph−¬ng thøc tÊn c«ng nh− bÎ kho¸, ®¸nh c¾p mËt khÈu ...); kÎ ph¸ ho¹i cã thÓ thay ®æi quyÒn truy nhËp hÖ thèng qua c¸c lç hæng b¶o mËt hoÆc ®äc c¸c th«ng tin trong tËp tin liªn quan ®Õn truy nhËp hÖ thèng nh− /etc/passwd - Tõ Møc 3 ®Õn møc 5: KÎ ph¸ ho¹i kh«ng sö dông quyÒn cña ng−êi dïng th«ng th−êng; mµ cã thªm mét sè quyÒn cao h¬n ®èi víi hÖ thèng; nh− quyÒn kÝch ho¹t mét sè dÞch vô; xem xÐt c¸c th«ng tin kh¸c trªn hÖ thèng - Møc 6: KÎ tÊn c«ng chiÕm ®−îc quyÒn root trªn hÖ thèng. III. C¸c møc b¶o vÖ an toµn m¹ng V× kh«ng cã mét gi¶i ph¸p an toµn tuyÖt ®èi nªn ng−êi ta th−êng ph¶i sö dông ®ång thêi nhiÒu møc b¶o vÖ kh¸c nhau t¹o thµnh nhiÒu líp "rµo ch¾n" ®èi víi c¸c ho¹t ®éng x©m ph¹m. ViÖc b¶o vÖ th«ng tin trªn m¹ng chñ yÕu lµ b¶o vÖ th«ng tin cÊt gi÷ trong c¸c m¸y tÝnh, ®Æc biÖt lµ trong c¸c server cña m¹ng. H×nh sau m« t¶ c¸c líp rµo ch¾n th«ng dông hiÖn nay ®Ó b¶o vÖ th«ng tin t¹i c¸c tr¹m cña m¹ng Physical protection login/password data encrytion Access rights firewalls Information H×nh 2 - C¸c møc ®é b¶o vÖ m¹ng Nh− minh ho¹ trong h×nh trªn, c¸c líp b¶o vÖ th«ng tin trªn m¹ng gåm: - Líp b¶o vÖ trong cïng lµ quyÒn truy nhËp nh»m kiÓm so¸t c¸c tµi nguyªn (ë ®©y lµ th«ng tin) cña m¹ng vµ quyÒn h¹n (cã thÓ thùc hiÖn GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 3
  4. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng nh÷ng thao t¸c g×) trªn tµi nguyªn ®ã. HiÖn nay viÖc kiÓm so¸t ë møc nµy ®−îc ¸p dông s©u nhÊt ®èi víi tÖp - Líp b¶o vÖ tiÕp theo lµ h¹n chÕ theo tµi kho¶n truy nhËp gåm ®¨ng ký tªn/ vµ mËt khÈu t−¬ng øng. §©y lµ ph−¬ng ph¸p b¶o vÖ phæ biÕn nhÊt v× nã ®¬n gi¶n, Ýt tèn kÐm vµ còng rÊt cã hiÖu qu¶. Mçi ng−êi sö dông muèn truy nhËp ®−îc vµo m¹ng sö dông c¸c tµi nguyªn ®Òu ph¶i cã ®¨ng ký tªn vµ mËt khÈu. Ng−êi qu¶n trÞ hÖ thèng cã tr¸ch nhiÖm qu¶n lý, kiÓm so¸t mäi ho¹t ®éng cña m¹ng vµ x¸c ®Þnh quyÒn truy nhËp cña nh÷ng ng−êi sö dông kh¸c tuú theo thêi gian vµ kh«ng gian. - Líp thø ba lµ sö dông c¸c ph−¬ng ph¸p m· ho¸ (encryption). D÷ liÖu ®−îc biÕn ®æi tõ d¹ng "®äc ®−îc" sang d¹ng kh«ng "®äc ®−îc" theo mét thuËt to¸n nµo ®ã. Chóng ta sÏ xem xÐt c¸c ph−¬ng thøc vµ c¸c thuËt to¸n m· ho¸ hiÖn ®−îc sö dông phæ biÕn ë phÇn d−íi ®©y. - Líp thø t− lµ b¶o vÖ vËt lý (physical protection) nh»m ng¨n c¶n c¸c truy nhËp vËt lý bÊt hîp ph¸p vµo hÖ thèng. Th−êng dïng c¸c biÖn ph¸p truyÒn thèng nh− ng¨n cÊm ng−êi kh«ng cã nhiÖm vô vµo phßng ®Æt m¸y, dïng hÖ thèng kho¸ trªn m¸y tÝnh, cµi ®Æt c¸c hÖ thèng b¸o ®éng khi cã truy nhËp vµo hÖ thèng ... - Líp thø n¨m: Cµi ®Æt c¸c hÖ thèng bøc t−êng löa (firewall), nh»m ng¨n chÆn c¸c th©m nhËp tr¸i phÐp vµ cho phÐp läc c¸c gãi tin mµ ta kh«ng muèn göi ®i hoÆc nhËn vµo v× mét lý do nµo ®ã. IV. C¸c ph−¬ng thøc m· ho¸ Mét trong nh÷ng biÖn ph¸p b¶o mËt th−êng sö dông ®ã lµ ¸p dông c¸c c¬ chÕ m· ho¸. Sau ®©y sÏ ph©n tÝch mét sè c¬ chÕ m· ho¸ ®¶m b¶o tÝnh an toµn vµ tin cËy d÷ liÖu th−êng ®−îc sö dông trong c¸c dÞch vô trªn m¹ng Internet 1. §Æc ®iÓm chung cña c¸c ph−¬ng thøc m· hãa: Trong c¸c ph−¬ng thøc m· hãa, mçi ph−¬ng thøc ®Òu chñ yÕu tËp trung gi¶i quyÕt 6 vÊn ®Ò chÝnh nh− sau: - Authentication - Ho¹t ®éng kiÓm tra tÝnh x¸c thùc mét thùc thÓ trong giao tiÕp - Authorization - Ho¹t ®éng kiÓm tra thùc thÓ ®ã cã ®−îc phÐp thùc hiÖn nh÷ng quyÒn h¹n cô thÓ nµo. GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 4
  5. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng - Confidential - TÝnh b¶o mËt; X¸c ®Þnh møc ®é b¶o mËt ®èi víi mçi ph−¬ng thøc b¶o mËt. - Integrity - TÝnh toµn vÑn: KiÓm tra tÝnh toµn vÑn d÷ liÖu khi sö dông mçi ph−¬ng thøc b¶o mËt cô thÓ. - Nonrepudiation - TÝnh kh«ng thÓ phñ nhËn. X¸c ®Þnh tÝnh x¸c thùc cña chñ thÓ g©y ra hµnh ®éng - Availability - Kh¶ n¨ng thùc hiÖn ph−¬ng thøc b¶o mËt ®ã trong m«i tr−êng vµ ®iÒu kiÖn thùc tÕ. a) Authentication: Lµ ho¹t ®éng liªn quan ®Õn kiÓm tra tÝnh ®óng ®¾n mét thùc thÓ giao tiÕp trªn m¹ng. Mét thùc thÓ cã thÓ lµ mét ng−êi, mét ch−¬ng tr×nh m¸y tÝnh, hoÆc mét thiÕt bÞ phÇn cøng. C¸c ho¹t ®éng kiÓm tra tÝnh x¸c thùc ®−îc ®¸nh gi¸ lµ quan träng nhÊt trong c¸c ho¹t ®éng cña mét ph−¬ng thøc b¶o mËt. Mét hÖ thèng th«ng th−êng ph¶i thùc hiÖn kiÓm tra tÝnh x¸c thùc cña mét thùc thÓ tr−íc khi thùc thÓ ®ã thùc hiÖn kÕt nèi víi hÖ thèng. C¬ chÕ kiÓm tra tÝnh x¸c thùc cña c¸c ph−¬ng thøc b¶o mËt dùa vµo 3 m« h×nh chÝnh sau: Nh÷ng th«ng tin biÕt tr−íc, nh÷ng th«ng tin ®· cã vµ nh÷ng th«ng tin x¸c ®Þnh tÝnh duy nhÊt. - Víi c¬ chÕ kiÓm tra dùa vµo m« h×nh nh÷ng th«ng tin biÕt tr−íc, ®èi t−îng cÇn kiÓm tra cÇn ph¶i cung cÊp nh÷ng th«ng tin mµ chóng biÕt, vÝ dô nh− password, hoÆc m· sè th«ng sè c¸ nh©n PIN (Personal information number). - Víi c¬ chÕ kiÓm tra dùa vµo m« h×nh nh÷ng th«ng tin ®· cã, ®èi t−îng kiÓm tra cÇn ph¶i thÓ hiÖn nh÷ng th«ng tin mµ chóng së h÷u, vÝ dô nh− private key, hoÆc sè thÎ tÝn dông. - Víi c¬ chÕ kiÓm tra dùa vµo m« h×nh nh÷ng th«ng tin x¸c ®Þnh tÝnh duy nhÊt, ®èi t−îng kiÓm tra cÇn ph¶i cã nh÷ng th«ng tin ®Ó ®Þnh danh tÝnh duy nhÊt cña m×nh vÝ dô nh− th«ng qua giäng nãi hoÆc fingerprint. b) Authorization: Lµ ho¹t ®éng kiÓm tra tÝnh hîp lÖ cã ®−îc cÊp ph¸t thùc hiÖn mét hµnh ®éng cô thÓ hay kh«ng. Do vËy ho¹t ®éng nµy liªn quan ®Õn c¸c dÞch vô cÊp ph¸t quyÒn truy cËp, ®¶m b¶o cho phÐp hoÆc kh«ng cho phÐp truy nhËp ®èi víi nh÷ng tµi nguyªn ®· ®−îc ph©n quyÒn cho c¸c thùc thÓ. Nh÷ng ho¹t ®éng ë ®©y cã thÓ lµ GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 5
  6. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng quyÒn ®äc d÷ liÖu, viÕt, thi hµnh mét ch−¬ng tr×nh hoÆc sö dông mét thiÕt bÞ phÇn cøng... C¬ chÕ thùc hiÖn viÖc ph©n quyÒn dùa vµo 2 m« h×nh chÝnh sau: m« h×nh ACL (Access Control list) vµ m« h×nh dùa trªn c¬ chÕ thiÕt lËp c¸c chÝnh s¸ch (Policy). c) Confidential: §¸nh gi¸ møc ®é b¶o mËt , hay tÝnh an toµn ®èi víi mçi ph−¬ng thøc b¶o mËt, møc ®é cã thÓ phôc håi d÷ liÖu tõ nh÷ng ng−êi kh«ng cã quyÒn ®èi víi d÷ liÖu ®ã. Cã thÓ b¶o mËt d÷ liÖu theo kiÕn tróc end-to-end hoÆc link-by-link. Víi m« h×nh end-to-end, d÷ liÖu ®−îc b¶o mËt trong toµn bé qu¸ tr×nh xö lý, l−u truyÒn trªn m¹ng; Víi m« h×nh link-by-link d÷ liÖu chØ ®−îc b¶o vÖ trªn c¸c ®−êng truyÒn vËt lý d) Integrity: TÝnh toµn vÑn; ho¹t ®éng nµy ®¸nh gi¸ kh¶ n¨ng söa ®æi d÷ liÖu so víi d÷ liÖu nguyªn thñy ban ®Çu; Mét ph−¬ng thøc b¶o mËt cã tÝnh toµn vÑn d÷ liÖu khi nã ®¶m b¶o c¸c d÷ liÖu m· hãa kh«ng thÓ bÞ thay ®æi néi dung so víi tµi liÖu gèc (khi ®· ®−îcg gi¶i m·) vµ trong tr−êng hîp nh÷ng kÎ tÊn c«ng trªn m¹ng söa ®æi néi dung d÷ liÖu ®· m· hãa th× kh«ng thÓ kh«i phôc l¹i d¹ng ban ®Çu cña d÷ liÖu. e) Nonreputation: TÝnh kh«ng thÓ phñ nhËn; X¸c ®Þnh tÝnh x¸c thùc cña chñ thÓ g©y ra hµnh ®éng cã thùc hiÖn b¶o mËt. (VÝ dô ch÷ ký ®iÖn tö sö dông trong hÖ thèng Mail cho phÐp x¸c ®Þnh chÝnh x¸c ®èi t−îng "ký"- ng−êi göi message ®ã.) f) Availability: §¸nh gi¸ tÝnh thùc thi cña mét ph−¬ng thøc b¶o mËt. Ph−¬ng thøc b¶o mËt ®ã ph¶i cã kh¶ n¨ng thùc hiÖn trong thùc tÕ ®èi víi c¸c hÖ thèng m¸y tÝnh, d÷ liÖu vµ thùc hiÖn víi c¸c tµi nguyªn phÇn cøng, phÇn mÒm; ®ång thêi ph¶i ®¶m b¶o c¸c yªu cÇu vÒ tèc ®é tÝnh to¸n, kh¶ n¨ng chuyÓn ®æi, tÝnh t−¬ng thÝch gi÷a c¸c hÖ thèng kh¸c nhau. 2. C¸c ph−¬ng thøc m· hãa: a) Ph−¬ng thøc m· hãa dïng kho¸ bÝ mËt (Secret Key Crytography) S¬ ®å sau ®©y minh ho¹ qu¸ tr×nh lµm viÖc cña ph−¬ng thøc m· ho¸ sö dông kho¸ bÝ mËt: GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 6
  7. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng Private key Ciphertex Plaintext Encrytion Decrytion Plaintext H×nh 3 - Ph−¬ng thøc m· hãa ®èi xøng §©y lµ ph−¬ng thøc m· ho¸ ®èi xøng: Message ë d¹ng Plaintext (d¹ng ®äc ®−îc) ®−îc m· ho¸ sö dông Private Key (kho¸ mµ chØ cã ng−êi m· ho¸ míi biÕt ®−îc) t¹o thµnh message ®−îc m· ho¸ (Ciphertext). ë phÝa nhËn, message m· ho¸ ®−îc gi¶i m· cïng víi Private Key m· ho¸ ban ®Çu thµnh d¹ng Plaintext. §iÓm chó ý cña ph−¬ng ph¸p m· ho¸ nµy lµ viÖc sö dông kho¸ bÝ mËt cho c¶ qu¸ tr×nh m· ho¸ vµ qu¸ tr×nh gi¶i m·. Do ®ã, nh−îc ®iÓm chÝnh cña ph−¬ng thøc nµy lµ cÇn cã qu¸ tr×nh trao ®æi kho¸ bÝ mËt, dÉn ®Õn t×nh tr¹ng dÔ bÞ lé kho¸ bÝ mËt Cã hai lo¹i m· ho¸ ®èi xøng nh− sau: M· ho¸ theo tõng khèi vµ m· ho¸ theo bits d÷ liÖu. - C¸c thuËt to¸n m· ho¸ ®èi xøng theo tõng khèi d÷ liÖu (Block Cipher) thùc hiÖn chia message ë d¹ng plaintext thµnh c¸c khèi vÝ dô 64 bits (hoÆc 2n bits), sau ®ã tiÕn hµnh m· ho¸ tõng khèi nµy. §èi víi khèi cuèi cïng nÕu kh«ng ®ñ 64 bits sÏ ®−îc bï thªm phÇn d÷ liÖu ®Öm (padding). Bªn nhËn sÏ thùc hiÖn gi¶i m· theo tõng khèi. - M· ho¸ theo tõng bits d÷ liÖu (Stream Ciphers) B¶ng sau ®©y m« t¶ mét sè ph−¬ng ph¸p m· ho¸ ®èi xøng sö dông kho¸ bÝ mËt Tªn thuËt to¸n ChÕ ®é m· ho¸ ChiÒu dµi kho¸ DES Theo khèi 56 IDEA Theo khèi 128 RC2 Theo khèi 2048 RC4 Theo bit 2048 RC5 Theo khèi 2048 GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 7
  8. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng §Ó kh¾c phôc ®iÓm h¹n chÕ cña ph−¬ng ph¸p m· ho¸ ®èi xøng lµ qu¸ tr×nh trao ®æi kho¸ bÝ mËt, ng−êi ta ®· sö dông ph−¬ng ph¸p m· ho¸ phi ®èi xøng sö dông mét cÆp kho¸ t−¬ng øng víi nhau gäi lµ ph−¬ng thøc m· ho¸ phi ®èi xøng dïng kho¸ c«ng khai (Public-Key Crytography). b) Ph−¬ng thøc m· hãa dïng kho¸ c«ng khai (Public-Key Crytography) Ph−¬ng thøc m· hãa dïng kho¸ c«ng khai ®−îc ph¸t minh bëi Whitfield Diffie vµ Martin Hellman vµo n¨m 1975; Ph−¬ng thøc m· hãa nµy sö dông 2 khãa lµ Public key vµ Private Key cã c¸c quan hÖ to¸n häc víi nhau. Trong ®ã Private Key ®−îc gi÷ bÝ mËt vµ kh«ng cã kh¶ n¨ng bÞ lé do kh«ng cÇn ph¶i trao ®æi trªn m¹ng; Public key kh«ng ph¶i gi÷ bÝ mËt vµ mäi ng−êi ®Òu cã thÓ nhËn ®−îc kho¸ nµy. Do ph−¬ng thøc m· hãa nµy sö dông 2 khãa kh¸c nhau, nªn ng−êi ta gäi nã lµ ph−¬ng thøc m· hãa phi ®èi xøng. MÆc dï Private key ®−îc gi÷ bÝ mËt, nh−ng kh«ng gièng víi "secret Key" ®−îc sö dông trong ph−¬ng thøc m· hãa ®èi xøng sö dông kho¸ bÝ mËt do Private Key kh«ng ®−îc trao ®æi trªn m¹ng. Public key vµ Private key t−¬ng øng cña nã cã quan hÖ to¸n häc víi nhau vµ ®−îc sinh ra sau khi thùc hiÖn c¸c hµm toµn häc; nh−ng c¸c hµm to¸n häc nµy lu«n tho¶ m·n ®iÒu kiÖn lµ sao cho kh«ng thÓ t×m ®−îc private key tõ public key vµ ng−îc l¹i. Do ®ã, mét cÆp kho¸ public key vµ private key t−¬ng øng ®−îc gäi lµ key pair. Do cã mèi quan hÖ to¸n häc víi nhau, mét message ®−îc m· hãa b»ng public key chØ cã thÓ gi¶i m· ®−îc b»ng private key t−¬ng øng; mét message ®−îc m· hãa b»ng private key chØ cã thÓ gi¶i m· ®−îc b»ng public key t−¬ng øng cña nã. ThuËt to¸n Public key cã tÝnh thuËn nghÞch nÕu nã cã kh¶ n¨ng sö dông c¶ cho b¶o mËt vµ ký ®iÖn tö. Nã lµ kh«ng cã tÝnh thuËn nghÞch nÕu chØ cã kh¶ n¨ng ký. Víi c¸c thuËt to¸n bÊt thuËn nghÞch, private key chØ cã thÓ m· hãa plaintext (tøc lµ qu¸ tr×nh ký) mµ kh«ng cã kh¶ n¨ng gi¶i m· ciphertext. Mét lo¹i kh¸c cña thuËt to¸n m· hãa public-key lµ hoÆc kh«ng thÓ m· hãa hoÆc kh«ng thÓ ký; thuËt to¸n nµy ®−îc gäi lµ thuËt to¸n key exchange (thuËt to¸n chuyÓn ®æi khãa). ThuËt to¸n Public-key dùa trªn mèi quan hÖ to¸n häc gi÷a Public key vµ private key. B¶ng sau ®©y liÖt kª c¸c thuËt tãan public-key th«ng dông nh− sau: GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 8
  9. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng Tªn ThuËt to¸n Type NÒn t¶ng to¸n häc DSA Digital signature ThuËt to¸n rêi r¹c RSA Digital signature, Key T×m thõa sè Exchange - RSA, lµ tªn cña 3 nhµ to¸n häc ®· t×m ra ph−¬ng thøc m· hãa nµy, ®ã lµ Rivest, Shamir vµ Adleman. RSA lµ thuËt to¸n public-key th«ng dông nhÊt tõ tr−íc tíi nay. RSA cã thÓ sö dông c¶ cho m· hãa, ký, vµ key exchange. ChiÒu dµi cña key cã thÓ thay ®æi, th«ng th−êng trong ph¹m vi tõ 512 ®Õn 2048 bits. ViÖc lùa chän chiÒu dµi key ph¶i ®¶m b¶o c©n b»ng gi÷a tèc ®é tÝnh to¸n vµ ®é phøc t¹p cña ph−¬ng thøc m· hãa. - DSA (Digital Signature Algorithm), ph−¬ng thøc m· hãa nµy ®−îc ra ®êi tõ chuÈn DSS (Digital Signature Standard), ®−îc giíi thiÖu vµo n¨m 1994. DSA chØ cã thÓ ký vµo mét message; nã kh«ng thÓ dïng cho m· hãa b¶o mËt vµ key exchange C¬ chÕ lµm viÖc cña ph−¬ng ph¸p m· ho¸ sö dông kho¸ c«ng khai ®−îc m« t¶ b»ng h×nh sau: Public Private key k Ciphertex Plaintext Plaintext Encrytion Decrytion H×nh 4 - Ph−¬ng thøc m· hãa phi ®èi xøng Gi¶ sö A muèn göi cho B mét message ®−îc m· hãa theo ph−¬ng thøc public- key. A sö dông Public key cña B ®Ó m· hãa Plaintext t¹o thµnh ciphertext (A cã thÓ nhËn ®−îc Public Key cña B do Public Key lµ kho¸ c«ng khai) . Sau ®ã ciphertext nµy ®−îc chuyÓn tíi B. ë phÝa nhËn B sö dông private key cña m×nh ®Ó gi¶i m· Ciphertext vµ ®äc ®−îc message ban ®Çu cña A. Do ®ã, ®Ó thùc hiÖn ph−¬ng thøc m· hãa dïng kho¸ c«ng khai, cã mét sè vÊn ®Ò cÇn gi¶i quyÕt nh− sau: GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 9
  10. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng - C©u hái 1: Lµm thÕ nµo ®Ó A cã thÓ kiÓm tra tÝnh x¸c thùc cña Public Key cña B? - C©u hái 2: Lµm thÕ nµo ®Ó B biÕt ®−îc chÝnh x¸c lµ message ®ã ®−îc göi ®i tõ A. Chóng ta xem xÐt c¸c t×nh huèng cã thÓ bÞ tÊn c«ng ®èi víi ph−¬ng thøc m· ho¸ phi ®èi xøng nh− sau: - Tr−êng hîp cã kÎ nghe trém th«ng tin trao ®æi trªn m¹ng: C lµ mét ng−êi nghe trém, C cã thÓ lÊy ®−îc ciphertext chuyÓn tõ A ®Õn B, nh−ng kh«ng thÓ gi¶i m· ®−îc message nµy v× C kh«ng cã private key cña B. - Tr−êng hîp gi¶ m¹o kho¸ c«ng khai: VÊn ®Ò ®Æt ra lµ lµm thÕ nµo ®Ó A cã thÓ biÕt chÝnh x¸c Public key mµ A sö dông ®óng lµ Public Key cña B. Trong tr−êng hîp nµy, nÕu D gi¶ m¹o B göi Public key cña D ®Õn A (A nhËn ®−îc Public key lµ cña D mµ kh«ng ph¶i lµ cña B), vµ A vÉn m· ho¸ message cña m×nh; khi ®ã message ®Õn D sÏ vÉn gi¶i m· ®−îc do D cã private key cña m×nh. §Ó kh¾c phôc h¹n chÕ nµy ng−êi ta x©y dùng mét hÖ thèng c¸c tæ chøc thø ba ®ãng vai trß trung gian trong viÖc x¸c thùc tÝn ®óng ®¾n cña mét Public Key. §ã lµ c¸c tæ chøc x©y dùng hÖ thèng chøng thùc ®iÖn tö (trong phÇn 3 sÏ tr×nh bµy kü h¬n vÒ Ceriticate) - Tr−êng hîp sö dông Private Key ®Ó m· ho¸: nÕu nh− A sö dông private key cña m×nh ®Ó m· hãa mét message vµ göi message ®ã tíi B? Khi ®ã, B cã thÓ sö dông Public key cña A ®Ó gi¶i m· message tõ A. Mét ng−êi thø ba C còng cã Public key cña A (public key lµ mét khãa c«ng khai) nªn nÕu nhËn ®−îc message göi tõ A còng cã thÓ gi¶i m· ®−îc message vµ ®äc nã. Do ®ã, A kh«ng thÓ sö dông private key cña m×nh ®Ó m· hãa mét message. Tuy nhiªn dùa vµo ®Æc ®iÓm ¸nh x¹ 1:1 gi÷a Private Key vµ Public Key ta cã thÓ thÊy r»ng message ®−îc m· ho¸ lµ ®−îc göi tõ A mµ kh«ng ph¶i lµ mét ng−êi kh¸c. §iÒu nµy còng tr¶ lêi cho c©u hái 2. Mét h¹n chÕ cña ph−¬ng thøc m· hãa dïng kho¸ c«ng khai lµ lµm gi¶m tèc ®é thùc hiÖn thao t¸c xuèng tõ 100 ®Õn 1000 lÇn so víi ph−¬ng thøc m· hãa ®èi xøng. Do ®ã, ph−¬ng thøc m· hãa nµy Ýt ®−îc sö dông ®Ó m· hãa víi d÷ liÖu kÝch th−íc lín. Ph−¬ng thøc nµy th−êng ®−îc sö dông cho giai ®o¹n khëi ®Çu cña kÕt nèi gi÷a hai thùc thÓ cÇn giao tiÕp víi nhau vµ sau ®ã mét kho¸ bÝ mËt (secret key) ®−îc t¹o GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 10
  11. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng ®Ó thùc hiÖn qóa tr×nh trao ®æi d÷ liÖu (kho¸ bÝ mËt nµy chØ tån t¹i trong mét session lµm viÖc duy nhÊt). ViÖc sö dông kü thuËt m· ho¸ dïng dïng kho¸ c«ng khai cho qu¸ tr×nh b¾t tay gi÷a hai thùc thÓ cÇn trao ®æi th«ng tin cã yªu cÇu b¶o mËt kÕt hîp víi thuËt to¸n dïng kho¸ bÝ mËt cho qu¸ tr×nh trao ®æi d÷ liÖu t¹o thµnh mét ph−¬ng thøc m· hãa lai. §Ó thùc hiÖn ®−îc ph−¬ng thøc m· ho¸ lai, Netscape ®· ®−a ra giao thøc SSL thùc hiÖn c¸c qu¸ tr×nh trªn. PhÇn 3 tr×nh bµy vÒ t¹o kÕt nèi b¶o mËt sÏ tr×nh bµy kü h¬n vÒ vÊn ®Ò nµy. Qua c¸c ph©n tÝch trªn, chóng ta thÊy r»ng cã hai kh¶ n¨ng cÇn ph¶i kh¾c phôc khi sö dông ph−¬ng thøc m· hãa dùa trªn nÒn t¶ng Public key ®ã lµ: - NÕu sö dông Public key ®Ó m· hãa mét message th× ®¶m b¶o message ®ã lµ hoµn toµn b¶o mËt; nh−ng cÇn ph¶i kiÓm tra tÝnh x¸c thùc cña public key (1) - NÕu sö dông Private key ®Ó m· hãa mét message th× cã thÓ gi¶i m· ®−îc bëi nhiÒu ng−êi cã ®−îc public key; nh−ng l¹i cã thÓ sö dông ph−¬ng thøc nµy ®Ó kiÓm tra tÝnh x¸c thùc cña mét ng−êi ký vµo message ®ã. (2) VÊn ®Ò ®Æt ra lµ cã thÓ tËn dông ®−îc hai ®Æc ®iÓm nµy ®Ó ®¶m b¶o phiªn giao dÞch lµ hoµn toµn b¶o mËt vµ tin cËy. Cô thÓ nh− sau: - Ng−êi ta sÏ sö dông private key ®Ó ký vµo mét message; mµ néi dung cña message nµy lµ public key cña ng−êi ®ã. Qu¸ tr×nh nµy ®¶m b¶o ®−îc r»ng public key ®óng lµ cña ng−êi; ®iÒu nµy kh¾c phôc ®−îc nh−îc ®iÓm (1) ®· nªu ë trªn. - Sau ®ã mét message ®−îc m· hãa b»ng public key võa göi ®Õn ®¶m b¶o r»ng chØ cã ng−êi cã private key cña nã míi cã kh¶ n¨ng gi¶i m· ®−îc. §iÒu nµy kh¾c phôc ®−îc nh−îc ®iÓm (2) ®· nªu ë trªn. c) Ph−¬ng thøc m· ho¸ mét chiÒu - thuËt to¸n B¨m §Ó ®¶m b¶o tÝnh toµn vÑn cña d÷ liÖu kh«ng bÞ thay ®æi so víi d÷ liÖu ban ®Çu, ng−êi ta ®−a ra c¸c ph−¬ng thøc m· ho¸ mét chiÒu sö dông c¸c thuËt to¸n B¨m . Ho¹t ®éng cña ph−¬ng thøc m· ho¸ nµy ®−îc minh ho¹ trong h×nh sau: Message one-way Plain text digest (hash) function H×nh 5 - M· hãa mét chiÒu GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 11
  12. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng H×nh trªn m« t¶ ho¹t ®éng cña ph−¬ng thøc m· hãa 1 chiÒu (Message - Digest); Theo ®ã, ®Çu ra cña ph−¬ng thøc nµy lµ mét Message Digest cã chiÒu dµi cè ®Þnh (message nµy gäi lµ message digest, hoÆc digest hoÆc hash). Víi mçi ®Çu vµo Plaintext sÏ chØ cã duy nhÊt mét kÕt qu¶ ®Çu ra t−¬ng øng vµ tõ Message Digest kh«ng thÓ t×m ra Message d¹ng Plaintext ban ®Çu. Message (d¹ng Plain text) sau khi thùc hiÖn hµm hashing sÏ t¹o ra mét chuçi c¸c ký tù - ®Æc tr−ng cho message ®Çu vµo. Gi¶i thuËt message digest lµ mét thuËn to¸n mét chiÒu hay th−êng gäi lµ thuËt to¸n hash. Ph−¬ng thøc m· hãa nµy kh«ng sö dông ®Ó m· hãa d÷ liÖu mµ th−êng sö dông ®Ó kiÓm tra tÝnh to¸n vÑn cña d÷ liÖu trong qu¸ tr×nh truyÒn th«ng tin trªn m¹ng. C¸c thuËt to¸n hashing cã 3 ®Æc ®iÓm chÝnh nh− sau: - Kh«ng cã kh¶ n¨ng t¹o ra message ban ®Çu dùa trªn digest cña nã (nãi c¸ch kh¸c lµ thuËt to¸n hashing ph¶i ®¶m b¶o cã tÝnh mét chiÒu, kh«ng thÓ thùc hiÖn theo chiÒu ng−îc l¹i) - Kh«ng thÓ t×m ra mét message gèc tõ mét digest ®Æc biÖt - Kh«ng thÓ t×m 2 message kh¸c nhau cã cïng mét digest gièng nhau NÕu chiÒu dµi cña digest lµ m bits, nã sÏ cÇn ph¶i thö 2m message ®Ó t×m ra mét message víi digest mong muèn t−¬ng øng vµ thùc hiÖn 2m/2 meesage ®Ó t×m 2 message cã cïng mét digest. Do ®ã c¸c hµm thùc hiÖn message-digest ph¶i cã ®Çu ra Ýt nhÊt lµ 128 bits , v× tèi thiÓu lµ 264 lµ kh«ng thÓ tÝnh to¸n ®−îc víi c¸c kh¶ n¨ng tÝnh to¸n hiÖn nay. B¶ng sau ®©y m« t¶ mét sè thuËt to¸n hashing th−êng sö dông: ThuËt to¸n ChiÒu dµi cña digest (bits) MD2 128 MD4 128 MD5 128 SHA-1 160 SHA 160 d) Message Authentication Codes - MAC MAC lµ mét d÷ liÖu cã chiÒu dµi cè ®Þnh, ®−îc göi cïng víi mét message ®Ó kiÓm tra tÝnh toµn vÑn d÷ liÖu cña message ®ã. C¸c ph−¬ng thøc m· hãa dïng khãa bÝ GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 12
  13. http://www.ebook.edu.vn Bµi gi¶ng Kü thuËt an toµn m¹ng mËt vµ khãa c«ng khai cã thÓ ®−îc sö dông nh− lµ nÒn t¶ng cña viÖc t¹o c¸c MACs. Mét c¸ch th«ng dông ®Ó t¹o MAC lµ dïng nhê mét block cipher text (mét ®o¹n text ®· ®−îc m· hãa ) ®−îc t¹o tõ ph−¬ng thøc m· hãa ®èi xøng sö dông khãa bÝ mËt. C¸c giao dÞch tµi chÝnh trªn m¹ng ®· sö dông ph−¬ng thøc nµy mét thêi gian dµi ®Ó b¶o vÖ c¸c giao dÞch ®iÖn tö gi÷a c¸c nhµ bank trªn m¹ng. Mét hµm m· hãa hashing ®−îc sö dông kÕt hîp gi÷a mét message vµ mét khãa bÝ mËt ®Ó t¹o ra MAC. ë phÝa ng−êi nhËn message, (chó ý ng−êi nµy dïng chung khãa bÝ mËt víi phÝa ng−êi göi), tÝnh to¸n hash theo d÷ liÖu göi ®Õn cïng víi khãa bÝ mËt cña hä ®Ó t¹o thµnh mét MAC kh¸c. NÕu 2 MAC nµy trïng víi nhau, ng−êi nhËn sÏ kÕt luËn r»ng message ®ã lµ ®−îc göi tõ mét ng−êi mµ ng−êi ®ã ®· biÕt khãa bÝ mËt vµ message ®ã hoµn toµn kh«ng bÞ söa ch÷a trong khi truyÒn d÷ liÖu. Qu¸ tr×nh nµy ®−îc gäi lµ hµm keys hash, vµ t−¬ng øng víi nã MAC ®−îc gäi lµ HMAC GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 13
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2