Trung tâm Đào tạo E-Learning Cơ hội học tập cho người BÀI – TỔNG QUAN VỀ AN NINH MẠNG Khái niệm an ninh mạng Khái niệm an ninh khơng có nghĩa ngặn chặn truy cập vào mạng An ninh phải cho phép truy cập vào mạng theo cách thức mà muốn, cho phép người làm việc với Mạng an toàn mạng thiết kế mở phép người truy cập sử dụng dịch vụ họ đâu kết nối Nếu ta thắt chặt an ninh, ta cung cấp mức độ truy cập cao đảm bảo cho phép đối tác truy cập, ngược lại ta cung truy cập tới đối tác Chiến lược phát triển an ninh mạng 2.1 Mơ hình phân cấp an ninh An ninh bao gồm nhiều lĩnh vực Nếu ta xem xét lĩnh vực theo thứ bậc ta có An ninh gốc lĩnh vực khác Ví dụ an ninh quốc gia, an ninh thơng tin, an ninh kinh tế xem lĩnh vực an ninh Trong chương trình quan tâm tới an ninh mạng, phận an ninh thông tin An ninh xem vấn đề bảo vệ tài sản nói chung An ninh thông tin vấn đề bảo vệ thông tin, nguồn thông tin sách vở, điện thoại, liệu máy tính An ninh mạng liên quan tới vấn đề bảo vệ thành phần mạng liệu, thiết bị phần cứng, phần mềm, môi trường Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Security Information Security Network Security Data Base Data Computer Application Mô hình mơ tả quan hệMơ giữhình an phân ninh cấp mạng lĩnh vực thành phần liên quan an Hình 1: an ninh ninh Nếu ta trọng an ninh máy tính bỏ qua nhiều lỗ hổng bị khai thác hacker Bởi an ninh mạng phải xem xét ngữ cảnh thành phần liên quan 2.2 Chế độ 3D an ninh (3Ds of Security 10) Lĩnh vực an ninh thông tin không ngừng phát triển, vấn đề để đảm bảo an ninh khơng thay đổi Nếu muốn bảo vệ tài sản tốt cần phải nghiên cứu học từ chiến lược an ninh sử dụng vấn đề mà chiến lược an ninh mắc phải Nguyên lý áp dụng tất trường hợp môi trường cho dù ta áp dụng chúng để bảo vệ máy tính, mạng, nhà cửa, người hay tài sản khác So sánh an ninh cá nhân an ninh mạng ví dụ điển hình, nguyên tắc thi giống Trên thực tế, an ninh mạng dựa nguyên lý an ninh lĩnh vực chế độ an ninh áp dụng chiến lược an ninh là: Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning e Cơ hội học tập cho người bảo vệ Defence - bảo vệ - thành phần dễ hiểu sử dụng đầu tiên, trước phương pháp khác Đánh giá chế độ bảo vệ giúp giảm thiểu rủi ro khả thành công công tới tài sản Ngược lại, đánh giá khơng tốt chế độ bảo vệ ta để tài sản bị công Tuy nhiên defence thành phần chiến lược an ninh Rất nhiều công ty dựa vào firewall để bảo vệ tài sản thông tin, thông tin khơng thể tránh cơng khơng đảm bảo chế độ cịn lại Ví dụ: Thường sử dụng firewall, router access list Deterrence - gây khó khăn, ngăn trở - chế độ thứ hai an ninh Ý tưởng việc ngăn trở gây khó khăn giống việc thiết lập luật quy tắc chống lại việc truy nhập sử dụng trái phép tài sản, hành vi vi phạm bị xử lý Deterrence thường xem phương pháp hiệu để giảm thiểu vi phạm an ninh Nếu có quy định luật thiết lập người cơng phải cân nhắc trước thực việc vi phạm Rất nhiều công ty triển khai quy định cho nhân viên sử dụng hình thức xử lý để ngăn chặn vi phạm Ví dụ: ta sử dụng quy định, email, thơng báo Detection - phát - chế độ thứ chiến lược an ninh lại thường triển khai máy tính mạng Defence deterrence sử dụng để ngăn chặn vi phạm an ninh phát vi phạm xẩy Thơng thương vi phạm an ninh ngấm ngầm diễn khoảng thời gian, khơng có chế độ phát kịp thời thiệt hại gia tăng nghiêm trọng Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Ví dụ: cài đặt phần mềm diệt virus, sử dụng ghi chép lần vết (audit trails log files) Ví dụ: 3D việc triển khai an ninh cho tài sản cá nhân Chúng ta cần làm có đồ vật quý nhà cần bảo vệ vấn cho phép sử dụng? Ta cần thiết lập chế độ Defence, ta cần khóa cửa sử dụng khóa cơng nghệ cao cho phép người tin cẩn sử dụng khóa Deterrence, bảo vệ luật pháp chống lại việc trộm cắp, ta sử dụng thêm chó canh nhà Detection sử dụng camera, infrared sensor, cơng nghệ cảnh bảo khác, ta cịn kết hợp với công ty bảo vệ cảnh sát Chú ý: Cả chế độ cần thiết để đảm bảo an ninh, khơng nên bỏ sót chế độ Hầu hết tất công ty đầu tư nhiều vào vấn đề an ninh công ty trọng vào chế độ có hiệu 2.3 Q trình phát triển an ninh mạng (Evolution of security 17) Thực tế an ninh thông tin thay đổi nhiều năm qua Từ máy tính cá nhân kết nối qua mạng môi trường trường Đại học Viện nghiên cứu sang mơi trường phủ, trước thương mại áp dụng vấn đề an ninh, công nghệ an ninh trước phát triển đặc biệt cho mơi trường Trong mơi trường nghiên cứu, mục đích chia thơng tin hồn toàn Bởi vấn đề an ninh túy chức kế tốn để tính tiền sử dụng thông tin tài nguyên Trong hệ thống mạng phủ, an ninh thơng tin đảm bảo chặt chẻ nên máy tính bị ngăn chặn hồn tồn, đảm bảo truy nhập sử dụng liệu mật Government blockage model - protected internal resources, no external access Academic open access model - unprotected internal resources, full external access Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Ví dụ: InterNex (ISP Palo Alto mua Concentric Network Corp.) sử dụng mơ hình mở, khơng có kiểm sốt an ninh ngoại trừ xác thực username, password Năm 1994, Kevin Mitnick lợi dụng kẽ hở để sử dụng tài khoản công máy tính San Diego cách giả mạo IP Sau cơng sang máy tính thành phố khác San Francisco, Denver, San José Đến tận 15/2/1995 Kevin bị bắt xử phạt năm tù xác nhận hệ thống an ninh phủ năm 2000 trước Quốc hội Mỹ Các chiến lược an ninh sử dụng chúng khơng cịn phù hợp với mơ hình mạng máy tính nay, đặc biệt lĩnh vực kinh tế, thương mại Từ thương mại điện tử phát triển, hai mơ hình khơng phù hợp Mơ hình đóng khơng thể thực ta cần phải cho phép người sử dụng truy cập Tương tự, mơ hình mở khơng thể áp dụng ta cần phải bảo vệ thông tin cá nhân cho người Thương mại điện tử đặt mơ hình an ninh hồn tồn khác biệt cho phép giới hạn kiểm soát truy cập tài nguyên người sử dụng đồng thời đảm bảo an toàn thơng tin cá nhân Mơ hình u cầu phải có xác thực, phân quyền đảm bảo bí mật cho người sử dụng Ví dụ: Bảo vệ tài sản cá nhân Ta cho phép người đưa hàng, vệ sinh, thợ sửa chữa vào nhà làm công việc họ ngăn chặn kẻ xấu Các sản phẩm đại thiết kế để phù hợp với mơ hình an ninh Tuy nhiên phát triển nhanh Internet làm thay đổi mơ hình thương mại mạng máy tính Do nhiều sản phẩm khơng thể theo kịp thay đổi Hầu hết sản phẩm sử dụng chức mạng khó khơng thể đạt u cầu an ninh Bởi thiết kế chiến lược an ninh cần phải nhận biết điểm yếu để đưa giải pháp để bù trừ cho sản phẩm yếu Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Ví dụ: Tăng cường hệ thống phát để hỗ trợ cho hệ thống bảo vệ (trong 3Ds) Thêm phần mềm quét diệt virus tăng cường cho hệ thống firewall Thường xuyên cập nhật phiên cơng cụ Chú ý: Có nhiều mơ hình an ninh lý thuyết Một số mơ hình liên quan tới kiến trúc mạng, số mơ hình liên quan đến truy cập liệu Tuy nhiên, chiến lược an ninh cần phải linh hoạt, phải đánh giá định kỳ thay đổi theo thực tế công nghệ 2.4 Các bước cần thiết (5 steps to better security 12) Trong an ninh mạng, mục tiêu việc triển khai hệ thống an ninh phải làm rõ để hoạch định chiến lược lựa chọn công nghệ Trên phương diện người thực an ninh, xác định mục tiêu vấn đề khó khăn Thông thường đưa yêu cầu bảo vệ an ninh mạng Trong trường hợp này, ta cần phải đưa mục tiêu đặt giả thuyết để thực kế hoạch an ninh Khi triển khai chiến lược an ninh ta phải cân nhắc - Không thể đảm bảo an ninh tuyệt đối - Ta quản lý rủi ro an ninh - Sử dụng công nghệ chống lại rủi ro để đạt mục tiêu Trước thiết lập chiến lược an ninh, ta cần phải thực bước quan trọng Chúng yêu cầu giai đoạn đánh giá phần việc triển khai chiến lược an ninh Các bước trả lời câu hỏi theo trình tự dùng để xác định yêu cầu an ninh hỗ trợ cho việc xây dựng giải pháp an ninh Assets - tài sản - Ta cần bảo vệ gì? Phải xác định tài sản cần bảo vệ để tránh việc xây dựng hệ thống an ninh sai mục đích Ví dụ: CSDL, khả cung cấp dịch vụ, thông tin cá nhân Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Risk - rủi ro - Đâu điểm yếu, lỗ hổng nguy xẩy ra? Điểm yếu tài sản bị khai thác nguy nào? Rủi ro xác định trường hợp nguy khai thác điểm yếu Tổng hợp yếu tố ta xác định thành phần cần thiết cho hệ thống an ninh để bảo vệ tài sản nói Ví dụ: dùng hay ngồi firewall, network, server giá thành Protections - bảo vệ - Tài sản bảo vệ nào? Khi yêu cầu tài sản xác định câu hỏi rủi ro xác định câu hỏi 2, ta xem xét quy định, thủ tục kỹ thuật thực tế sử dụng để cung cấp mức độ bảo vệ thích hợp Ngồi ta cịn đảm bảo chúng thiết lập chỗ Ví dụ: sử dụng biện pháp bảo vệ (defence) firewall, ACL quy định (deterrence) Tools - công cụ - Ta cần sử dụng thiết bị công nghệ để đảm bảo? Câu hỏi giúp ta phân loại thành phần hệ thông an ninh ta cần phải lựa chọn công cụ hỗ trợ Đây giai đoạn đánh giá sản phẩm Priorities - mức độ ưu tiên - Thứ tự thực triển khai hệ thống an ninh nào? Khi ta xác định công cụ kỹ thuật để bảo vệ tài sản từ nguy ta triển khai theo thứ tự ưu tiên Đặc biệt trường hợp ta chưa có khả để triển khai đồng tồn hệ thống an ninh Ví dụ: Khi xây dựng web site thương mại Để trả lời câu hỏi người thiết kế xác định thành phần cần bảo vệ thông tin, tài khoản người sử dụng, khả phục vụ web site Khi ta cần mã hóa kết nối trao đổi thông tin, lưu trữ liệu CSDL khác mã hóa Server có sử dụng firewall để chống lại DOS tiến hành chạy song song server v.v Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người 2.5 Triển khai chiến lược an ninh Phương pháp tổng thể để triển khai chiến lược an ninh bắt đầu việc mô tả cần bảo vệ Sau xác định triển khai bước triển khai cụ thể Thứ tự hoàn chỉnh để triển khai chiến lược an ninh bao gồm nhiều thành phần Các thành phần thường xác định qua bước nói bao gồm: xác định mục tiêu yêu cầu, phạm vi, sách, kỹ thuật kiến trúc, kế hoạch thực hiện, chuẩn thủ tục – hướng dẫn thực Mục tiêu yêu cầu: điểm bắt đầu tất chiến lược an ninh Để triển khai giải pháp an ninh mục tiêu yêu cầu phải xác định rõ ràng Mục tiêu đơn giản “bảo vệ mạng từ nguy từ Internet” hay “bảo vệ liệu mật không cho phép tổ chức hay cá nhân khác truy nhập” Phạm vi an ninh để xác định giá thành, mơ hình thời gian thực Thông thường dự án chia thành các gói nhỏ thực theo giai đoạn để dễ dàng quản lý Chính sách an ninh mơ tả chi tiết mục tiêu yêu cầu An toàn bảo mật Hệ thống thơng tin 3.1 An tồn bảo mật thông tin  Hệ thống thông tin an tồn trước hết phải có đảm bảo thông tin (information assurance) sở hạ tầng mạng truyền liệu tin cậy thông suốt  Đi kèm với an tồn bảo mật thơng tin để đảm bảo bí mật nội dung thơng tin truyền tải  Hai yếu tố an toàn bảo mật quan trọng có gắn bó mật thiết với Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Hình Các nh phầ n bả n thông tin Các thành phần thông tin gồm có: C - Confidentiality: bảo mật I - Integrity: toàn vẹn A- Accessibility: sẵn sàng Các thành phần mạng: Hardware: thiết bị Software: ứng dụng Communication: môi trường trao đổi thông tin 3.2 Các tính chất cần đảm bảo an ninh cho Hệ thống thông tin Để đảm bảo an ninh bảo mật cho Hệ thống thông tin, hệ thống cần phải đáp ứng đầy đủ tính chất bảo mật sau: Đảm bảo tính chất an tồn mạng máy tính (Computer Security) Tính an tồn (safety) Tính tin cậy (reliability) Tính sẵn sàng (accessibility) Bài 1: Tổng quan an ninh bảo mật thông tin Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Tính mở rộng (scalability) Tính dễ quản trị (managebility) Đảm bảo nguyên tắc tính bảo mật thơng tin (Information Assurance) Tính bí mật (privacy/confidentiality) Tính tồn vẹn (integrity) Tính xác thực/nhận dạng (authenticity) Tính trách nhiệm/khơng thể chối bỏ (non-repudiation) 3.3 Mơ hình triển khai An ninh (Defence In Depth) Từ máy tính cá nhân kết nối qua mạng mơi trường trường Đại học Viện nghiên cứu sang mơi trường phủ, trước thương mại áp dụng vấn đề an ninh, công nghệ an ninh trước phát triển đặc biệt cho mơi trường Các mơ hình triển khai gồm có: Government blockage model – bảo vệ tài ngun, khơng cho phép truy cập từ bên ngồi, truy cập từ hệ thống Academic open access model – tài nguyên chia sẻ, cho phép truy cập từ bên Commercial mix model – tài nguyên dịch vụ phân lớp kiểm soát quyền truy cập từ từ bên Bài 1: Tổng quan an ninh bảo mật thông tin Trang 10 Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Phép toán thực lũy thừa với số mũ nguyên dương lớn lấy phần dư modulo Thơng thường phép lũy thừa modulo có dạng số b, sô mũ e dương, modulo m, cho kết c theo dạng: c= be mod m Chú ý: số b nhỏ, số mũ e modulo m lớn Phép lũy thừa modulo thực với số mũ e âm, trường hợp ta thường tìm phần tử nghịch đảo d b theo modulo m sử dụng thuật toán Euclid mở rộng theo dạng c ≡ be ≡ d-e (mod m) e < b.d ≡ (mod m) Việc tính tốn lũy thừa modulo máy tính đơn giản với thuật tốn kể số mũ cực lớn Ngược lại, để phân tích theo tốn logarit rời rạc (discret logarithm) để tìm số mũ e cho trước b, c, m khó Đây tốn dùng làm hàm chiều (oneway function) cho phép hàm lũy thừa modulo dùng thuật tốn mã hóa Thuật tốn Straightforward Phương thức tính trực tiếp giá trị be sau thực modulo với m Độ phức tạp tính tốn O(e) phép tốn nhân Input: Cho b, e, m Output: c = be (mod m) Process: Tính a = be c = a mod m Bài 5: Cơ sở toán học Trang 10 Trung tâm Đào tạo E-Learning Ví dụ: Cơ hội học tập cho người Cho b=4, e=13, m=497 Tính c = be (mod m) Giải: Tính a = 413 = 67.108.864 c = 67.108.864 mod 497 = 455 Thuật toán Memory Efficient Thuật toán phải thực nhiều thao tác phương thức tính trực tiếp tốn nhớ phép tính lại tốn thời gian nên cho phép thực nhanh Theo tính chất giao hốn, kết hợp phép tốn hai ngơi tâp hợp, thuật tốn thực với số nguyên theo nguyên tắc dựa hai biểu thức sau: c ≡ (a.b) (mod m) c ≡ (a.(b (mod m))) (mod m) Thuật toán Memory Efficient Input: Cho b, e, m Output: Tính c = be (mod m) Process: Đặt c = 1; e’ = while (e’ < e) { e’ = e’ + 1; c = (b.c) (mod m) } Bài 5: Cơ sở toán học Trang 11 Trung tâm Đào tạo E-Learning Cơ hội học tập cho người return (c); Độ phức tạp tính tốn tương tự thuật tốn trực tiếp O(e) bước tính tốn với số nhỏ nhiều nên thực nhanh Ví dụ: b=4, e=13 m=497 Tính c = b e (mod m) e'=1 c = (1*4) mod 497 = mod 497 = e'=2 c = (4*4) mod 497 = 16 mod 497 = 16 e'=4 c = (64*4) mod 497 = 256 mod 497 = 256 e'=3 c = (16*4) mod 497 = 64 mod 497 = 64 e'=5 c = (256*4) mod 497 e'=6 c = (30*4) mod 497 e'=7 c = (120*4) mod 497 = 480 mod 497 = 480 e'=8 c = (480*4) mod 497 =1920 mod 497 = 429 e'=9 c = (429*4) mod 497 = 1716 mod 497 = 225 = 1024 mod 497 = 30 = 120 mod 479 = 120 e'=10 c = (225*4) mod 497 = 900 mod 497 = 403 e'=11 c = (403*4) mod 497 = 1612 mod 497 = 121 e'=12 c = (121*4) mod 497 = 484 mod 497 = 484 e'=13 c = (484*4) mod 497 = 1936 mod 497 = 445 Thuật toán Squaring Thuật toán giảm nhiều số lượng tính tốn với phép lũy thừa modulo sử dụng lượng nhớ với phương pháp Bài 5: Cơ sở toán học Trang 12 Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Để thực hiện, thuật toán sử dụng biểu diễn nhị phân số mũ theo cơng thức bình phương nhân (square and multiply) Còn gọi theo tên lũy thừa nhị phân (binary exponentiation) Được áp dụng theo thuật toán đệ quy sau: Input: Cho b, e, m Output: Tính c = be (mod m) Process: Chuyển đổi số mũ e thành nhị phân e = ∑ ki.2i với i=1 n Đặt a = 1; if (e = 0) return (a) Đặt B = b; if (k0 = 1) a = b for (i=1 to n) { B = B.B (mod m) if (ki = 1) a = B.a (mod m) } return (a) Ví dụ: b=5, e=596 m=1234 Tính c = b e (mod m) Bài 5: Cơ sở toán học Trang 13 Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Chú ý: ki chạy từ phải sang trái nên thuật tốn cịn gọi Right To Left Chúc Anh/ Chị học tập tốt! Bài 5: Cơ sở toán học Trang 14 Trung tâm Đào tạo E-Learning Cơ hội học tập cho người BÀI 6: MÃ HÓA KHƠNG ĐỒNG BỘ Mã hóa cơng khai 1.1 Khái niệm chung Mã hóa khóa đối xứng có nhược điểm là: cần phải trao đổi khóa bí mật trước Mã hóa khóa cơng khai (hay khóa bất đối xứng) đưa giải pháp thay Thuật tốn mã hóa khóa cơng khai có sở hồn chỉnh Ron Rivest, Adi Shamir Leonard Adleman khởi xướng vào năm 1977 Học viện Kỹ thuật Massachusett (MIT Massachusett Institute of Technology) Cơng trình cơng bố vào năm 1978 thuật toán đặt tên thuật toán RSA Mã hóa khóa cơng khai dạng mã hóa cho phép người sử dụng trao đổi thông tin mật mà khơng cần phải trao đổi khóa bí mật trước Các hệ thống mã hóa khóa cơng khai sử dụng cặp khóa có quan hệ tốn học với • Khóa cơng khai – Public key • Khóa riêng – Private key (hay khóa bí mật – secret key) Hệ thống mật mã hóa khóa cơng khai sử dụng với mục đích: • Mã hóa: giữ bí mật thơng tin có người có khóa bí mật giải mã • Tạo chữ ký số: cho phép kiểm tra văn xem có phải tạo với khóa bí mật hay khơng Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người • Thỏa thuận khóa: cho phép thiết lập khóa để trao đổi thơng tin mật hai bên 1.2 Mơ hình hoạt động Sinh Khóa – A chọn thuật tốn sinh cặp khóa - khóa cơng khai E (public key) khóa bí mật D (private key) – A gửi E (public key) cho B, giữ D (private key) cho Mã hóa – B nhận khóa cơng khai E – B có thơng điệp gốc P, dùng E mã hóa E(P) = C – C thơng điệp mã hóa gửi cho A Giải mã – A nhận C – Dùng D giải mã D(C) = P lại thơng điệp gốc Dùng khố cơng khai để mã hóa, dùng khố bí mật để giải mã 1.3 Thuật tốn RSA Sinh Khóa – Chọn số ngun tố lớn (>1024bit) P Q, P ≠ Q – Lấy tích số: N = PQ, N gọi modulo mã hóa – Chọn số E cho: 1< E < PQ, E (P-1)(Q-1) nguyên tố (vậy E phải chọn số lẻ) E gọi số mũ mã hóa Bài 6: Mã hóa không đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người – Tính số D cho tích số DE ≡ 1[mod(P-1)(Q-1)] có nghĩa tích số DE chia cho tích số (P-1)(Q-1) có số dư 1, DE -1 chia hết cho (P-1)(Q-1) Ta dùng phương pháp thử dần số nguyên X cho có cho: D = [X(P-1)(Q-1) +1]/E số nguyên D gọi số mũ giải mã Khóa cơng khai An gửi cho Bình (qua đường thơng tin bất kỳ) cặp số [N,E] Khóa bí mật An giữ cho riêng cặp số [N,D] Mã Hóa – Mã hóa: B nhận khóa cơng khai A gửi B có thơng điệp gốc – plaintext – P thơng điệp số hóa – P thực số dạng nhị phân đổi thành số thập phân cần gửi cho A – B mã hóa phép tốn: C= PE mod N (P = plaintext, C = ciphertext) – Bình gửi thơng điệp mã hóa C cho A Giải Mã – A nhận C – A giải mã phép toán P = CD mod N Như ta cần phải chứng minh rằng: (PE mod N)D mod N = P Điều chứng minh cách ứng dụng Định lý số dư Trung hoa The Chinese Remainders Theorem Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Ví dụ: để minh họa phương pháp nên ta chọn p, q bé cho dễ tính tốn – Chọn số nguyên tố : p = 61 = (111101)2; q = 53 = (11011)2 (hủy sau tạo khóa), • n = pq = 3233 (modulo) • e = 17 - số mũ mã hóa (cơng bố cơng khai) Khóa cơng khai A gửi cho B: (3233, 17) d = 2753 – số mũ giải mã ( A giữ riêng ) Có thơng điệp gốc (số hóa thành số dạng nhị phân đổi số thập phân): 123 B dùng khóa cơng khai (n,e) mã hóa : 123 17 mod 3233 = 855 Thông điệp mã hóa gửi đi: 855 A dùng khóa riêng (n,d) giải mã : 855 2753 mod 3233 = 123 Đổi 123 mã nhị phân chuyển thành văn gốc theo bảng mã 1.4 Trao đổi khóa cơng khai RSA operation gồm dãy phép tính lũy thừa modulo lớn Độ phức tạp tính tốn: - Khóa cơng khai = O(k2) bước tính tốn, - Khóa riêng = O(k3), Tổng qt mã RSA có độ phức tạp tính toán O(k4) – k số bit modulo Vì mã RSA có nhược điểm tốc độ lập mã giải mã chậm Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người • Nhược điểm lớn khác mã RSA nguy sau Khi B dùng khóa cơng khai nhận từ A để gửi tin, chắn A đọc được: tin cậy phía người gửi tin • Khi A nhận tin, chưa B gửi (vì khóa cơng khai lộ người thứ ba biết khóa cơng khai, dùng để mã hóa thơng điệp giả gửi cho A): khơng tin cậy phía người nhận tin • Để khắc phục điều đó, phải có phương pháp “phân phối khóa cơng khai” cách tin cậy Sơ đồ trao đổi khóa cơng khai: - A tạo cặp khóa, khóa cơng khai E khóa riêng D1 - B tạo cặp khóa, khóa cơng khai E khóa riêng D2 - Dùng E1 nhận A để mã hóa E2: E1(E2) = E’2, B gửi E’2 cho A giữ D2 cho riêng - A nhận E’2, giải mã D1 (Chỉ A có D1): Chỉ có A đọc E2 Khi có đối tác A B sở hữu khóa cơng khai E - A có thơng điệp gốc P, dùng E (của B mã hóa thơng điệp: E2(P) = C, gửi thơng điệp mã hóa (bằng khóa cơng khai B) cho B chắn có B đọc - B: nhận chắn A gửi, đọc: D2(C) = P 1.5 Phong bì số • Mã bất đối xứng đảm bảo an toàn việc chuyển giao khóa mã lại có nhược điểm tốc độ lập mã, giải mã chậm • Phong bì số (Digital envelope) biện pháp kết hợp hai loại mã đối xứng bất đối xứng để chuyển giao thơng điệp an tồn tin cậy Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Sơ đồ chuyển giao khóa bí mật phong bì số dạng đơn giản Bước 1: Tạo phong bì số • A tạo khóa cơng khai E1 gửi cho B, giữ khóa riêng D1 • B tạo khóa cơng khai E2, tạo khóa cơng khai E2, dùng E1 (nhận từ A) mã hóa: E1(E2) = E’2 gửi E’2 cho A • Chỉ có A sở hữu khóa riêng D1 nên giải mã được: E1(E’2) = E2 Từ Chỉ có A B sở hữu khóa cơng khai E2 (do B tạo) Bước 2: Chuyển giao khóa dối xứng • A tạo khóa đối xứng K dùng E2 mã hóa: E2(K) = K’ gửi cho B • B dùng D2 giải mã: D2(K’) = K Chỉ có A B biết khóa K, từ giao dịch khóa đối xứng K 1.6 Thuật tốn mã hóa thơng dụng • Hệ mật mã Elgamal dựa toán logarit rời rạc thuật toán dùng phổ biến nhiều thủ tục mật mã • Mật mã xếp ba lơ Merkle-Hellman hệ mật mã khóa cơng khai đời sớm nhất, Ralph Merkle Martin Hellman phát minh vào năm 1978 • Mật mã đường cong elliptic – Elliptic curve cryptography – ECC dạng mã hóa khóa cơng khai dựa cấu trúc đại số đường cong ê-lip trường hữu hạn Việc sử dụng đường cong elip mật mã học Neal Koblitz Victor S, Miller đề xuất vào năm 1985 Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Chữ ký điện tử Trong giao dịch thông tin tác nhân, việc trao đổi thơng tin trước hết phải đảm bảo bốn yêu cầu sau nguyên lý bảo mật thơng tin • Tính bảo mật: thơng tin dù lọt vào tay người khác người khơng hiểu nội dung thư • Tính tồn vẹn thơng tin: Nếu thông tin bị làm biến đổi nội dung q trình truyền tin phải nhận biết thơng tin bị can thiệp (chỉ phát – detect khơng biết nội dung bị can thiệp để đính lại cho – correct) • Tính xác thực (nhận biết): Khi nhận thông tin, người nhận xác định thông tin người gửi gửi – kẻ thứ ba giả mạo • Tính khơng chối bỏ (trách nhiệm): Sau người gửi chối bỏ thơng tin khơng phải Ví dụ: Trong giao dịch thông thường, An ký tên vào thư để xác nhận thư phát hành, sau chối bỏ Khi Bình thấy chữ ký An cuối thư tin tưởng thư An Vậy có cách giải tính chất an tồn thơng tin giao dịch điện tử? Nói cách khác, tạo cơng cụ đóng vai trị chữ ký người phát hành thông điệp dạng giao dịch thông thường không? Chữ ký điện tử (Electronic signature) cơng cụ đáp ứng u cầu đề cho việc trao đổi thông điệp điện tử Q trình mã hóa ngược sử dụng khóa bí mật giải mã khóa cơng khai gọi trình ký xác nhận (private key authentication) Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Q trình mã hóa ngược sử dụng khóa bí mật giải mã khóa cơng khai gọi trình ký xác nhận (private key authentication) Chữ ký điện tử với RSA Chữ ký điện tử với DSA Hàng băm: Là chuỗi đại diện (message digest) liệu tạo từ phương pháp toán học (hash function) sử dụng để kiểm tra tính xác liệu trao đổi Tính chất hàm băm: • Một chiều h: x • Khơng có va chạm yếu x’; khơng tồn h-1 x ≠ x h(x) ≠ h(x’) • Khơng có va chạm mạnh Vx ≠ x’ Bài 6: Mã hóa khơng đồng h(x) ≠ h(x’) Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Công dụng hàm băm: • Kiểm tra thặng dư (tính đắn liệu) • So sánh kiểm tra liệu kích thước lớn • Sử dụng chữ ký điện tử Hàm băm thông dụng: MDx (128 bits), SHA-x (160-512 bits), RIPMD(160) Chú ý: MAC loại message digest sử dụng khóa đồng Chứng thực điện tử Chứng thực điện tử ứng dụng quan trọng chữ ký điện tử Như biết tính chất quan trọng chữ ký điện tử phải đảm bảo tính tồn vẹn liệu tính xác thực, tính trách nhiệm người gửi thông tin Vậy câu hỏi đặt là:  Có phải người chủ sở hữu gửi thơng tin?  Tính đắn trách nhiệm người chủ sở hữu nào? Chứng thực điện tử bao gồm phần: • Plaintext: Xác nhận chủ sở hữu khóa cơng khai • Message digest: bao gồm khóa cơng khai, xử lý hàm băm ký thành phần có thẩm quyền Bài 6: Mã hóa khơng đồng Trang Trung tâm Đào tạo E-Learning Cơ hội học tập cho người Một số nhà cung cấp chứng thực: VeriSign, Red Hat, Nexus, FPT, Bkav Public key Infrastructure (PKI) Trong mật mã học, hạ tầng sở khóa cơng khai chế bên thứ (thường nhà cung cấp chứng thực số) cấp phát xác thực định danh bên tham gia vào q trình trao đổi thơng tin Hiện có mơ hình hạ tầng khóa cơng khai sử dụng: • Tiêu chuẩn X.509 • Giao thức PGP Web of Trust Chúc Anh/ Chị học tập tốt! Bài 6: Mã hóa khơng đồng Trang 10