intTypePromotion=1
ADSENSE

Giáo trình An toàn và bảo mật thông tin (Ngành: Quản trị mạng) - CĐ Công nghiệp Hải Phòng

Chia sẻ: Agatha25 Agatha25 | Ngày: | Loại File: PDF | Số trang:56

36
lượt xem
8
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

(NB) Giáo trình An toàn và bảo mật thông tin cung cấp cho người học những kiến thức như: Tổng quan về bảo mật và an toàn mạng; Mã hóa thông tin; Bảo vệ mạng bằng tường lửa; Danh sách điều khiển truy cập; Virus và cách phòng chống. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Giáo trình An toàn và bảo mật thông tin (Ngành: Quản trị mạng) - CĐ Công nghiệp Hải Phòng

  1. UỶ BAN NHÂN DÂN TỈNH HẢI PHÒNG TRƯỜNG CĐCN HẢI PHÒNG GIÁO TRÌNH Tên môn học: An toàn và bảo mật thông tin TRÌNH ĐỘ CAO ĐẲNG HẢI PHÒNG 1
  2. TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm. LỜI GIỚI THIỆU ”An toàn và bảo mật thông tin” là môn học bắt buộc trong các trường nghề. Tuỳ thuộc vào đối tượng người học và cấp bậc học mà trang bị cho học sinh, sinh viên những kiến thức cơ bản nhất. Để thống nhất chương trình và nội dung giảng dạy trong các nhà trường chúng tôi biên soạn cuốn giáo trình: An toàn và bảo mật thông tin”. Giáo trình được biên soạn phù hợp với các nghề trong các trường đào tạo nghề phục vụ theo yêu cầu của thực tế xã hội hiện nay. Tài liệu tham khảo để biên soạn gồm: [1]. Ths. Ngô Bá Hùng-Ks. Phạm Thế phi Giáo trình mạng máy tính Đại học Cần Thơ năm 2005 [2]. Đặng Xuân Hà An toàn mạng máy tính Computer Networking năm 2005 [3]. Giáo trình quản trị mạng tại website: www.ebook4you.org [4]. Bài giảng Kỹ thuật an toàn mạng Nguyễn Anh Tuấn – Trung tâm TH-NN Trí Đức. Kết hợp với kiến thức mới có liên quan môn học và những vấn đề thực tế thường gặp trong sản xuất, đời sống để giáo trình có tính thực tế cao, giúp cho người học dễ hiểu, dễ dàng lĩnh hội được kiến thức môn học. Trong quá trình biên soạn giáo trình kinh nghiệm còn hạn chế, chúng tôi rất mong nhận được ý kiến đóng góp của bạn đọc để lần hiệu đính sau được hoàn chỉnh hơn. Tổ bộ môn Kỹ thuật hệ thống và mạng máy tính 2
  3. Mục lục LỜI GIỚI THIỆU ..................................................................................................................................2 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN ....................................................................6 1.1 Mở đầu (Giới thiệu về an toàn thông tin) .................................................................................6 1.2 Sự cần thiết để bảo vệ thông tin. ..............................................................................................7 1.3 Virus và các biện pháp phòng chống virus; ...................................................................................7 1.4. Các đặc trưng xâm nhập ................................................................................................................7 1.5. Đặc trưng kỹ thuật của an toàn bảo mật ........................................................................................8 CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU CỦA MẠNG .................10 2.2. Lỗ hổng bảo mật trên Internet ................................................................................................11 2.4. Các biện pháp phát hiện hệ thống bị tấn công ........................................................................12 CHƯƠNG 3: KỸ THUẬT MÃ HÓA ....................................................................................................14 3.2. Khái niệm về mã hóa và giải mã ............................................................................................15 3.4. Giới thiệu mã hóa DES ..........................................................................................................16 3.7. Mã khóa công khai RSA ........................................................................................................21 3.9. So sánh hệ khóa bí mật và khóa công khai.............................................................................23 CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ .....................................................................24 4.1. Giới thiệu................................................................................................................................24 4.3. Vấn đề xác thực và chữ kí điện tử. .........................................................................................25 4.5. Phân loại các hệ thống chữ ký điện tử....................................................................................26 4.7 Giải thuật bảo mật hàm băm SHA .........................................................................................27 CHƯƠNG 5: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG .....................................................................28 5.2. Hệ thống xác thực ..................................................................................................................30 5.4. Ứng dụng bảo mật trong SSL .................................................................................................32 THỰC HÀNH: KỸ THUẬT MÃ HÓA DES (Ca 1) .............................................................................36 THỰC HÀNH: MÃ HÓA CÔNG KHAI RSA (CA 2) ..........................................................................42 THỰC HÀNH: THUẬT TOÁN CHỮ KÝ ĐIỆN TỬ DSA ..................................................................48 THỰC HÀNH: CHỨNG CHỈ SỐ ..........................................................................................................54 3
  4. AN TOÀN BẢO MẬT THÔNG TIN I. Vị trí, tính chất của mô đun: - Vị trí: Mô đun được bố trí dạy sau khi học xong các môn học chung, môn học mô đun: Mạng máy tính và Quản trị mạng 1 - Tính chất: Là mô đun chuyên môn nghề bắt buộc. II. Mục tiêu mô đun: - Về kiến thức:  Xác định được các thành phần cần bảo mật cho một hệ thống mạng;  Trình bày được các hình thức tấn công vào hệ thống mạng;  Mô tả được cách thức mã hoá thông tin;  Trình bày được quá trình NAT trong hệ thống mạng;  Mô tả được nguyên tắc hoạt động của danh sách truy cập;  Liệt kê được danh sách truy cập trong chuẩn mạng TCP/IP;  Phân biệt được các loại virus thông dụng và cách phòng chống virus. - Về kỹ năng:  Cài đặt các biện pháp cơ bản phòng chống tấn công trong mạng;  Cấu hình được phương thức NAT trong hệ thống mạng;  Cấu hình được danh sách truy cập trong hệ thống mạng;  Đánh giá phát hiện khi bị tấn công trong mạng;  Khắc phục sự cố mạng khi bị tấn công. - Về năng lực tự chủ và trách nhiệm:  Tuân thủ các quy đinh trong phòng thực hành, rèn luyện tính cẩn thận, chính xác, kiên trì trong công việc và hướng dẫn của giáo viên;  Tác phong công nghiệp và làm việc theo nhóm. Đảm bảo an toàn cho người và thiết bị tại nơi làm việc. III. Nội dung mô đun: 1. Nội dung tổng quát và phân bổ thời gian: Số TT Tên chương/mục I Tổng quan về bảo mật và an toàn mạng Các khái niệm chung Nhu cầu bảo vệ thông tin II Mã hóa thông tin Đặc điểm chung Mã hóa cổ điển 4
  5. Mã hóa dùng khóa công khai III NAT Giới thiệu Các kỹ thuật NAT cổ điển NAT trong window server IV Bảo vệ mạng bằng tường lửa Các kiểu tấn công Các mức bảo vệ an toàn Internet Firewall V Danh sách điều khiển truy cập Khái niệm về danh sách truy cập Nguyên tắc hoạt động của danh sách truy cập VI Virus và cách phòng chống Giới thiệu tổng quan về virus Cách thức lây lan và phân loại virus Ngăn chặn sự xâm nhập virus 5
  6. CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN MỤC TIÊU CỦA BÀI Sau khi học xong bài này người học có khả năng Kiến thức: - Trình bày được lịch sử phát triển và sự cần thiết của an toàn thông tin; - Trình bày được khái niệm Virus và các biện pháp phòng chống virus; Kỹ năng: Thực hiện các thao tác an toàn thông tin với máy tính. Thái độ: - Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành; - Tích cực vận dụng kiến thức đã học vào thực tế. NỘI DUNG 1.1 Mở đầu (Giới thiệu về an toàn thông tin) Khái niệm an toàn thông tin An toàn thông tin là: là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ tầng thông tin. - Mục tiêu hướng tới. - Đảm bảo an toàn thông tin Các nguyên tắc nền tảng của ATTT (mô hình C-I-A) - Tính bí mật; - Tính toàn vẹn; - Tính sẵn sàng Yêu cầu của một hệ thống thông tin an toàn và bảo mật - Tính bảo mật. - Tính chứng thực - Tính không từ chối Vai trò của mật mã trong việc bảo mật thông tin trên mạng. 6
  7. 1.2 Sự cần thiết để bảo vệ thông tin. Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu và rủi do Mục đích của an toàn thông tin - Bảo vệ tài nguyên của hệ thống - Bảo đảm tính riêng tư 1.3 Virus và các biện pháp phòng chống virus; Khái niệm virus máy tính - Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa, file khác mà người sữ dụng không hay biết. - Worm - Trojan Horse - Spyware - Adware Các cách lây nhiễm - Lây nhiễm theo cách cổ điển; - Lây nhiễm qua thư điện tử; - Lây nhiêm qua mạng Internet Các cách phòng chống - Sử dụng phần mềm diệt virus. - Sử dụng tường lửa cá nhân; - Cập nhật các bản vá lỗi của hệ điều hành; - Vận dụng kinh nghiệm sử dụng máy tính; - Bảo vệ dữ liệu máy tính 1.4. Các đặc trưng xâm nhập Các hình thức xâm nhập hệ thống thông tin: 7
  8. - Interruption (Gián đoạn); - Interception (ngăn chặn); - Modification (can thiệp); - Fabrication (mạo danh). Các phương thức tấn công - Tấn công từ chối dịch vụ (Denial of Service); - Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS) - Tấn công giả danh (Spoofing attack); - Tấn công xen giữa (Man-in-the-middle attack); - Tấn công phát lại (Replay attack); - Nghe lén (Sniffing attack); - Tấn công mật khẩu (Password attack). 1.5. Đặc trưng kỹ thuật của an toàn bảo mật Yêu cầu của một hê thống thông tin an toàn và bảo mật Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên. Như vậy hệ truyền tin phải có các đặt tính sau: 1) Tính bảo mật (Confidentiality) 2) Tính chứng thực (Authentication) 3) Tính không từ chối (Nonrepudiation) Vai trò của mật mã trong việc bảo mật thông tin Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật (confidentiality), tính chứng thực (authentication) và tính không từ chối (non- repudiation) của một hệ truyền tin. Các giao thức thực hiện bảo mật. 8
  9. Sau khi tìm hiểu về mật mã, chúng ta sẽ tìm hiểu về cách ứng dụng chúng vào thực tế thông qua một số giao thức bảo mật phổ biến hiện nay là:  Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.  Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai.  Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến trong Web và thương mại điện tử.  PGP và S/MIME: bảo mật thư điện tử email. Bảo vệ hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài Để thực hiện việc bảo vệ này, người ta dùng khái niệm “kiểm soát truy cập” (Access Control). Khái niệm kiểm soát truy cập này có hai yếu tố sau:  Chứng thực truy cập (Authentication): xác nhận rằng đối tượng (con người hay chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: để sử dụng máy tính thì trước tiên đối tượng phải logon vào máy tính bằng username và password. Ngoài ra, còn có các phương pháp chứng thực khác như sinh trắc học (dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…).  Phân quyền (Authorization): các hành động được phép thực hiện sau khi đã truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào hệ điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc bạn chỉ có quyền đọc file mà không có quyền xóa file. 9
  10. CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU CỦA MẠNG MỤC TIÊU CỦA BÀI Sau khi học xong bài này người học có khả năng Kiến thức: - Trình bày được giao thức TCP/IP và các lỗ hổng bảo mật trên mạng Internet; - Trình bày được các phương thức tân công trên mạng và các biện pháp phòng tránh. Kỹ năng: Thực hiện cách cấu hình phát hiện và hạn chế tấn công trên mạng Thái độ: - Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành; - Tích cực vận dụng kiến thức đã học vào thực tế. NỘI DUNG 2.1.Giao thức TCP/IP Giới thiệu mô hình TCP/IP Lịch sử phát triển của TCP/IP: - Đầu năm 1980, bộ giao thức TCP/IP ra đời làm giao thức chuẩn cho mạng ARPANET và các mạng của DoD. Khái niệm và lịch sử phát triển TCP/IP là bộ các giao thức có vai trò xác định quá trình liên lạc trong mạng và quan trọng hơn cả là định nghĩa “hình dạng” của một đơn vị dữ liệu và những thông tin chứa trong nó để máy tính đích có thể dịch thông tin một cách chính xác. Kiến trúc TCP/IP Bộ giao thức TCP/IP đƣợc phân làm 4 tầng: - Tầng ứng dụng (Application Layer) 10
  11. - Tầng giao vận (Transport Layer) - Tầng Internet (Internet Layer) - Tầng truy cập mạng (Network access Layer) Các giao thức tương ứng với các lớp trong mô hình TCP/IP - Các giao thức trong lớp ứng dụng; - Các giao thức trong lớp vận chuyển; - Các giao thức trong lớp Mạng; - Các giao thức trong lớp truy cập mạng. Quá trình đóng gói dữ liệu trong mô hình TCP/IP Quá tình đóng gói dữ liệu được tiến hành theo nhiều bước và được chi tiết hóa bằng hình vẽ. Giao thức TCP và UDP – TCP cung cấp luồng dữ liệu tin cậy giữa 2 trạm, nó sử dụng các cơ chế như chia nhỏ các gói tin ở tầng trên thành các gói tin có kích thước thích hợp cho tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian timeout để đảm bảo bên nhân biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy nên tầng trên sẽ không cần quan tâm đến nữa. – UDP cung cấp một dịch vụ rất đơn giản hơn cho tầng ứng dụng . Nó chỉ gửi dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được tới đích. Các cơ chế đảm bảo độ tin cậy được thực hiện bởi tầng trên Tầng ứng dụng. 2.2. Lỗ hổng bảo mật trên Internet Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể xâm nhập trái phép vào hệ thống. Các loại lỗ hổng trong bảo mật: - Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ, 11
  12. gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền truy cập hệ thống. - Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin. - Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống, có thể phá hủy toàn bộ hệ thống. 2.3. Một số phương thức tấn công - Tấn công trực tiếp; - Kỹ thuật đánh lừa (Social Engineering); - Kỹ thuật tấn công vào vùng ẩn; - Tấn công vào các lỗ hổng bảo mật; - Nghe trộm; - Kỹ thuật giả mạo địa chỉ; - Tấn công vào hệ thống có cấu hình không an toàn; - Tấn công dùng Cookies; - Can thiệp vào tham số trên URL; - Vô hiệu hóa dịch vụ; - Một số kiểu tấn công khác. 2.4. Các biện pháp phát hiện hệ thống bị tấn công Khái niệm “Phát hiện xâm nhập” Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử dụng trong quá trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên một hệ thống máy tính hoặc mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có thể xảy ra, đó là các vi phạm hoặc các mối đe dọa sắp xảy ra xâm phạm chính sách bảo mật máy tính. Hệ thống phát hiện xâm nhập trái phép. 12
  13. Giới thiệu về hệ thống phát hiện xâm nhập Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một thiết bị phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo. Phân loại IDS - NIDS – Hệ thống IDS dựa trên mạng; - IDS dựa trên máy chủ; - IDS dựa trên ứng dụng; - IDS dựa trên dấu hiệu; - IDS dựa trên thống kê sự bất thường. Cơ chế hoạt động của IDS - Phát hiện dựa trên sự bất thường; - Phát hiện thông qua giao thức (Protocol); - Phát hiện nhờ quá trình tự học. 2.5.Các biện pháp phòng ngừa Tường lửa (Firewall) Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet. Hệ thống Proxy Server Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình ứng dụng) đóng vai trò trung gian cho các yêu cầu giữa người dùng tìm kiếm tài nguyên với hệ thống máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và Internet. 13
  14. Tạo đường hầm (Tuneling) Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung gian (thường là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính này đến máy tính qua hệ thống mạng. Kỹ thuật này cho phép mã hóa và tiếp nhận đối với toàn bộ gói tin IP. Các cổng bảo mật sử dụng kỹ thuật này để cung cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng. Thiết bị kiểm soát nội dung SCM (Secure Content Management). Secure Content Management (SCM) là một thiết bị mạng chuyên dụng được đặt sau tường lửa và trên một vùng mạng để bảo vệ cho toàn bộ hệ thộng phía sau. Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính kèm, email hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,… để tìm Virus/Spam, Spyware, Keyloggerm Phishing,… CHƯƠNG 3: KỸ THUẬT MÃ HÓA MỤC TIÊU CỦA BÀI Sau khi học xong bài này người học có khả năng Kiến thức: - Trình bày được khái niệm mã hóa và giải mã. - Trình bày được các thuật toán mã hóa DES, phương pháp mã hóa công khai. Kĩ năng: Mô tả được hoạt động của các hệ thống lai. Thái độ: - Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành; - Tích cực vận dụng kiến thức đã học vào thực tế. NỘI DUNG 3.1. Giới thiệu Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin 14
  15. bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu được. 3.2. Khái niệm về mã hóa và giải mã Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào đó được gọi là quá trình mã hoá (encryption). Quá trình biến đổi thông tin mật về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption). Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thông tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã hóa và giải mã. Các thành phần trong một hệ thống mật mã điển hình bao gồm: -Plaintext: là thông tin gốc cần truyền đi giữa các hệ thống thông tin -Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thông tin mật từ thông tin gốc. -Key: khóa mật mã, gọi tắt là khóa. Đây là thông tin cộng thêm mà thuật tóan mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật. -Ciphertext: thông tin đã mã hóa (thông tin mật). Đây là kết quả của thuật toán mã hóa. -Decryption algorithm: Thuật tóan giải mã. Đầu vào của thuật tóan này là thông tin đã mã hóa (ciphertext) cùng với khóa mật mã. Đầu ra của thuật tóan là thông tin gốc (plaintext) ban đầu. 3.3. Kỹ thuật mã hóa khóa bí mật Kỹ thuật mã hoá được chia thành hai loại: mã hoá dùng khoá đối xứng (symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key encryption) như sẽ trình bày trong các phần tiếp theo. Các tiêu chí đặc trưng của một hệ thống mã hóa: Một hệ thống mã hóa bất kỳ được đặc trưng bởi 3 tiêu chí sau đây: -Phương pháp mã (operation): có hai phương pháp mật mã bao gồm thay thế (substitution) và chuyển vị (transposition). -Số khóa sử dụng (number of keys): nếu phía mã hóa (phía gởi) và phía giải mã (phía nhận) sử dụng chung một khóa, ta có hệ thống mã dùng khoá đối xứng (symmetric key) - gọi tắt là mã đối xứng hay còn có các tên gọi khác như mã một khóa (single-key), mã khóa bí mật (secret key) hoặc mã quy ước (conventional cryptosystem). 15
  16. -Cách xử lý thông tin gốc (mode of cipher): thông tin gốc có thể được xử lý liên tục theo từng phần tử , khi đó ta có hệ thống mã dòng (stream cipher). Tấn công một hệ thống mật mã Tấn công (attack) hay bẻ khoá (crack) một hệ thống mật mã là quá trình thực hiện việc giải mã thông tin mật một cách trái phép. Kẻ tấn công thường không có đầy đủ 3 thông tin này, do đó, thường cố gắng để giải mã thông tin bằng hai phương pháp sau: -Phương pháp phân tích mã (cryptanalysis): dựa vào bản chất của thuật tóan mã hóa, cùng với một đọan thông tin gốc hoặc thông tin mật có được, kẻ tấn công tìm cách phân tích để tìm ra tòan bộ thông tin gốc hoặc tìm ra khóa, rồi sau đó thực hiện việc giải mã toàn bộ thông tin mật. -Phương pháp thử tuần tự (brute-force): bằng cách thử tất cả các khóa có thể, kẻ tấn công có khả năng tìm được khóa đúng và do đó giải mã được thông tin mật. Hai thành phần đảm bảo sự an toàn của một hệ thống mật mã là thuật toán mã (bao gồm thuật toán mã hoá và thuật toán giải mã) và khoá. Trong thực tế, thuật tóan mã không được xem như một thông tin bí mật, bởi vì mục đích xây dựng một thuật tóan mã là để phổ biến cho nhiều người dùng và cho nhiều ứng dụng khác nhau, hơn nữa việc che giấu chi tiết của một thuật tóan chỉ có thể tồn tại trong một thời gian ngắn, sẽ có một lúc nào đó, thuật tóan này sẽ được tiết lộ ra, khi đó tòan bộ hệ thống mã hóa trở nên vô dụng. Do vậy, tất cả các tình huống đều giả thiết rằng kẻ tấn công đã biết trước thuật tóan mã. Như vậy, thành phần quan trọng cuối cùng của một hệ thống mã là khóa của hệ thống, khóa này phải được giữ bí mật giữa các thực thể tham gia nên được gọi là khóa bí mật. 3.4. Giới thiệu mã hóa DES 16
  17. Kỹ thuật mật mã đối xứng được đặc trưng bởi việc sử dụng một khóa duy nhất cho cả quá trình mã hóa và giải mã thông tin. Bằng một cách an tòan nào đó, khóa chung này phải được trao đổi thống nhất giữa bên gởi và bên nhận (tức bên mã hóa và bên giải mã), đồng thời được giữ bí mật trong suốt thời gian sử dụng. Kỹ thuật mật mã đối xứng còn được gọi là mật mã quy ước conventional encryption)hoặc mật mã dùng khóa bí mật (secret key encryption). Thuật toán mật mã DES DES (Data Encryption Standard) là một thuật tóan mã dựa trên cấu trúc Feistel được chuẩn hóa năm 1977 bởi cơ quan chuẩn hóa Hoa kỳ (NIST – National Institute of Standards and Technology). Cơ chế thực hiện mã hóa DES được mô tả ở hình: DES xác định các thông số của cấu trúc Feistel như sau: - Kích thước khối: 64 bit - Chiều dài khoá: 64 bit, thực ra là 56 bit như sẽ trình bày sau đây - Số vòng lặp: 16 vòng - Thuật toán sinh khoá phụ: kết hợp phép dịch trái và hoán vị - Hàm F: kết hợp các phép XOR, hoán vị và thay thế (S-box). Thông số của DES được trình bày sau đây: -Phép hoán vị khởi đầu (IP); -Hàm F; -Thuật toán sinh khoá phụ. Thuật tóan mật mã DES là một thuật tóan dựa trên cấu trúc Feistel nhưng có cách thực hiện phức tạp, được thiết kế dựa trên các thao tác xử lý bit (bitwise operartions) như phép XOR, phép dịch, hoán vị, … do đó thích hợp với các thiết bị mã hoá bằng phần cứng. Thuật toán DES không dễ phân tích, và trong một thời gian dài đã được giữ bí mật. Thuật toán mật mã Triple DES 17
  18. Tripple DES hay DES bội ba (viết tắt là 3DES hoặc TDES) là một phiên bản cải tiến của DES. Nguyên tắc của Triple DES là tăng chiều dài khoá của DES để tăng độ an toàn, nhưng vẫn giữ tính tương thích với thuật toán DES cũ. Triple DES với hai khoá là một thuật toán mật mã an toàn, tránh được các tấn công xen giữa và đã được sử dụng thay thế DES trong nhiều ứng dụng (ANS X9.17, ISO 8732, …). Một phiên bản khác của Triple DES là sử dụng cả 3 khoá khác nhau K1, K2, K3 với cùng cấu trúc như trên. Khi đó chiều dài khoá của thuật toán là K1 + K2 + K3 = 168 bit. Khi cần thiết phải đảm bảo tính tương thích với các ứng dụng DES cũ thì đặt K1 = K2 hoặc K3 = K2. Triple DES 3 khoá cũng đã được ứng dụng trong nhiều dịch vụ, đặc biệt là PGP, S/MIME Thuật toán mật mã AES Triple DES đã khắc phục được các điểm yếu của DES và hoạt động ổn định trong nhiều ứng dụng trên mạng Internet. Tuy nhiên, Triple DES vẫn còn chứa những nhược điểm của DES như tính khó phân tích, chỉ thích hợp với thực thi bằng phần cứng chứ không thích hợp cho thực thi bằng phần mềm, kích thước khối cố định 64 bit, … Các thuật toán mật mã đối xứng khác Ngoài 2 thuật toán mật mã hóa tiêu chuẩn ở trên (Triple DES được xem như là một phiên bản nâng cấp của DES chứ không phải một thuật toán độc lập), có nhiều thuật toán khác cũng đã chứng minh được tính hiệu quả của nó và được sử dụng trong một số ứng dụng khác nhau: - IDEA (International Data Encryption Algorithm) là một thuật toán mật mã đối xứng được phát triển ở Thụy điển năm 1991. -Blowfish được phát triển năm 1993, bởi một người nghiên cứu mật mã hóa độc lập (Bruce Schneier) và cũng đã nhanh chóng được sử dụng song song với giải thuật mã hóa DES. -RC4 và RC5 là giải thuật mã hóa đối xứng được thiết kế bởi Ron Rivest (một trong những người phát minh ra giải thuật mã hóa bất đối xứng RSA) vào năm 18
  19. 1988 và 1994. -CAST-128 là một thuật toán khác được thiết kế năm 1997 bởi Carlisle Adams và Stafford Tavares. 3.5. Ưu, nhược điểm của mã hóa đối xứng - Tác dụng đồng loạt. Khi ta thay đổi 1 bit trong khoá sẽ gây ra tác động đồng loạt làm thay đổi nhiều bit trên bản mã. Đây là tính chất mong muốn của khoá trong thuật toán mã hoá. - Sức mạnh của DES – kích thước khoá. Độ dài của khoá trong DES là 56 bít có 256 = 7.2 x 1016 giá trị khác nhau. Đây là con số rất lớn nên tìm kiếm duyệt rất khó khăn. - Sức mạnh của DES – tấn công thời gian. Đây là dạng tấn công vào cài đặt thực tế của mã. Ở đây sử dụng hiểu biết về quá trình cài đặt thuật toán mà suy ra thông tin về một sô khoá con hoặc mọi khoá con. - Sức mạnh của DES – tấn công thám mã. Có một số phân tích thám mã trên DES, từ đó đề xuất xây dựng một số cấu trúc sâu về mã DES. Rồi bằng cách thu thập thông tin về mã, có thể đoán biết được tất cả hoặc một số khoá con đang dùng. - Thám mã sai phân: Thám mã sai phân là tấn công thống kê chống lại các mã Fiestel. Mã Fiestel dùng các cấu trúc mã chưa được sử dụng trước kia như thiết kế S-P mạng có đầu ra từ hàm f chịu tác động bởi cả đầu vào và khoá. Do đó không thể tìm lại được giá trị bản rõ mà không biết khoá. - Thám mã tuyến tính: Đây là một phát hiện mới khác. Nó cũng dùng phương pháp thống kê. Ở đây cần lặp qua các vòng với xác suất giảm, nó được phát triển bởi Matsui và một số người khác vào đầu những năm 90. 3.6. Cơ sở hạ tầng khóa công khai Cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) là một hệ thống hạ tầng bao gồm các thiết bị phần cứng, chương trình phần mềm, các chính sách, thủ tục và con người cần thiết để tạo ra, quản lý, lưu trữ và phân 19
  20. phối các chứng thực khóa phục vụ cho mục đích phổ biến khóa công khai của các thực thể thông tin. Mục tiêu của PKI là cung cấp một môi trường làm việc phối hợp, trong đó, thiết bị, phần mềm của nhiều nhà sản xuất khác nhau có thể cùng sử dụng chung một cấu trúc chứng thực khóa. - Các thành phần của PKI:  End Entity (thực thể đầu cuối): là người sử dụng, một phần mềm hoặc một thiết bị tham gia vào quá trình trao đổi thông tin sử dụng mã hóa khóa công khai.  Certificate Authority (CA): là thực thể tạo ra các chứng thực khóa.  Registration Authority (RA): là một thành phần tùy chọn của PKI, có chức năng xử lý một số công việc quản lý nhằm giảm tải cho CA, chẳng hạn như đăng ký thực thể đầu cuối, kiểm chứng các thực thể đầu cuối, tạo ra các cặp khóa publicprivate, …  Repository: Kho lưu trữ chứng thực khóa và cung cấp chứng thực khóa cho các thực thể đầu cuối khi có yêu cầu.  Certificate revocation list (CRL) Issuer: Một chứng thực khóa khi đã được tạo ra và phổ biến thì không có nghĩa là nó sẽ được tồn tại vĩnh viễn. - Các chức năng quản lý của PKI:  Đăng ký (Registration);  Khởi tạo (Initialization);  Chứng thực (Certification);  Phục hồi khóa (Key-pair recovery);  Cập nhật khóa (Key-pair update);  Yêu cầu thu hồi chứng thực khóa (Revocation request). 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2