Đang tải... (xem toàn văn)
Microsoft Word 08 IT201 Bai 6 v1 0011103219 doc Bài 6 Các ứng dụng xác thực IT201 Bai 6 v1 0011103219 97 Nội dung Phân phối khóa công khai, khóa chính, khóa phiên, các giấy chứng nhận Hệ thống máy[.]
Bài 6: Các ứng dụng xác thực BÀI 6: CÁC ỨNG DỤNG XÁC THỰC Nội dung Mục tiêu Phân loại khóa, đưa sơ đồ trao đổi, quản lý khóa Thiết lập mơ hình hệ thống máy chủ tin cậy xác thực Trung tâm quản lý, phân quyền truy cập ứng dụng Xác lập sở hạ tầng quản lý khóa cơng khai PKI Xem xét ví dụ an toàn thư điện tử PGP IT201_Bai 6_v1.0011103219 Phân phối khóa cơng khai, khóa chính, khóa phiên, giấy chứng nhận Hệ thống máy chủ xác thực Trung tâm Kerberos cung cấp thẻ dùng dịch vụ phân tán Mơ hình hạ tầng khóa cơng khai PKI An ninh thư điện tử: bảo mật, xác thực, quản lý khóa riêng, khóa cơng khai Thời lượng học tiết 97 Bài 6: Các ứng dụng xác thực TÌNH HUỐNG DẪN NHẬP Tình Cần phải liên hệ với để tìm khóa cơng khai người bạn (để trao đổi khóa mật mà dùng để mã hóa thư)? Trong hệ thống cung cấp nhiều dịch vụ phân tán, tơi có phải nhập mật yêu cầu ứng dụng khơng? Liệu tơi che giấu ký vào thư điện tử khơng? Câu hỏi Có cách quản lý phân phối khóa cách tin cậy không? Ở cổng thông tin Trường, đăng nhập lần sử dụng nhiều dịch vụ khác khơng? Có thể giả mạo danh tính hệ thống thư điện tử sửa nội dung thư không? 98 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực 6.1 Quản lý khóa 6.1.1 Phân phối khóa Mã khóa cơng khai giúp giải tốn phân phối khóa, nhu cầu cấp bách cần phải tạo chế chia sẻ khóa môi trường thường xuyên trao đổi thông tin thường xun thay đổi khóa Nó bao gồm hai khía cạnh sau: Phân phối khóa cách cơng khai đảm bảo bí mật Sử dụng mã khóa cơng khai để phân phối khóa mật (cịn khóa mật dùng để mã hố thơng tin) Để phân phối khóa cơng khai xem xét sử dụng giải pháp sau: o Thông báo công khai khóa người sử dụng o Thư mục truy cập cơng cộng cho người o Chủ quyền khóa cơng khai, người nắm giữ khóa cơng khai o Chứng nhận khóa cơng khai, khóa cơng khai người sử dụng nơi có thẩm quyền chứng nhận Thơng báo cơng khai Người dùng phân phối khóa cơng khai cho người nhận thông báo rộng rãi cho cộng đồng Chẳng hạn người sử dụng tự bổ sung khóa PGP vào thư điện tử gửi cho nhóm chia sẻ tin danh sách thư điện tử Điểm yếu thơng báo cơng khai mạo danh: người tạo khóa tun bố người khác gửi thông báo cho người khác Cho đến giả mạo bị phát kẻ mạo danh lừa vai trị người khác Thư mục truy cập công cộng Dùng thư mục truy cập cơng cộng đạt tính an tồn cao cách đăng ký khóa với thư mục cơng cộng để đăng tải chia sẻ cho người Thư mục cần đảm bảo tin cậy với tính chất sau: o Chứa việc nhập tên khóa cơng khai o Người dùng đăng ký mật với Thư mục o Người dùng thay khóa lúc o Thư mục in định kỳ o Thư mục truy cập qua mạng Mơ hình cịn có lỗ hổng để kẻ xâm nhập sửa giả mạo vào hệ thống Chủ quyền khóa cơng khai Đây bước cải thiện tính an tồn kiểm sốt chặt chẽ tập trung việc phân phối khóa từ Thư mục Nó bao gồm tính chất Thư mục nêu phần trước đòi hỏi người dùng biết khóa cơng khai Thư mục Sau người dùng nhận khóa cơng khai mong muốn cách an toàn, cách truy cập thời gian thực đến Thư mục cần đến khóa Tuy nhiên yêu cầu truy cập thời gian thực nhược điểm cách phân phối khóa Cụ thể kịch sau hai người sử dụng chia sẻ khóa cơng khai cho thơng qua việc sử dụng IT201_Bai 6_v1.0011103219 99 Bài 6: Các ứng dụng xác thực khóa cơng khai Chủ quyền để nhận khóa cơng khai đối tác trao đổi qua lại để khẳng định người biết thông tin người Chứng nhận khóa cơng khai Chứng nhận cho phép trao đổi khóa khơng cần truy cập thời gian thực đến Chủ quyền thư mục khóa cơng khai Để làm việc cần chứng nhận trói danh tính người sử dụng với khóa cơng khai “đóng dấu vào giấy chứng nhận” để tránh giả mạo Các thông tin kèm thông thường chu kỳ kiểm định, quyền sử dụng, thời hạn,… Nội dung ký khóa riêng tin cậy Chủ quyền chứng nhận (CA, Certificate Authority) Do khóa cơng khai CA thơng báo rộng rãi, nên chứng nhận kiểm chứng người biết khóa cơng khai Chủ quyền chứng nhận 6.1.2 Phân phối cơng khai khóa mật Nói chung sử dụng phương pháp để nhận khóa cơng khai người định trao đổi thơng tin Khóa cơng khai dùng cho mục đích mã hố, giải mã xác nhận thơng tin đối tác Nhưng thuật tốn khóa công khai chậm, nên giá để bảo mật thông tin đắt Do thơng thường dùng khóa đối xứng để mã hoá giải mã nội dung tin Khóa cịn gọi khóa phiên hay khóa kỳ (Section Key) Có số cách thỏa thuận khóa phiên phù hợp hai người sử dụng Phân phối khóa mật đơn giản Phân phối khóa mật đơn giản đề xuất Merkle vào năm 1979: 100 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực o o o o A tạo cặp khóa cơng khai tạm thời A gửi B khóa cơng khai danh tính họ B tạo khóa phiên gửi cho A sử dụng khóa cơng khai cung cấp A giải mã khóa phiên hai dùng Vấn đề nằm chỗ, kẻ thù ngăn đóng giả hai bên thủ tục Nếu có khóa cơng khai, khóa phiên trao đổi an tồn 6.1.3 Trao đổi khóa phương pháp kết hợp: Ta kết hợp sử dụng Trung tâm phân phối khóa để phân phối khóa phiên mơ hình máy chủ IBM Trung tâm chia sẻ khóa (master key) với người sử dụng phân phối khóa phiên sử dụng khóa với Trung tâm Sơ đồ khóa cơng khai dùng để phân phối khóa Sơ đồ ba lớp đặc biệt hữu ích người sử dụng phân tán rộng Các yêu cầu hệ thống chất lượng thực tương thích tảng Phân phối khóa dùng chung Sơ đồ đối xứng đòi hỏi hai đối tác chia sẻ khóa bí mật chung Vấn đề đặt phân phối khóa mật Thơng thường hệ mật thường bị sập bị bẻ khóa sơ đồ phân phối khóa Đối với hai đối tác A B cho trước có số cách phân phối khóa khác nhau: A lựa chọn khóa truyền tay cho B Đối tác thứ ba chọn khóa phân phối cho A B A B trao đổi trước dùng khóa trước để mã khóa A B trao đổi mật với đối tác thứ C, C chuyển tiếp A B Kịch phân phối khóa IT201_Bai 6_v1.0011103219 101 Bài 6: Các ứng dụng xác thực Phân loại khóa Thơng thường khóa phân loại sau: Khóa phiên (Section Key): o Khóa tạm thời o Dùng để mã hoá liệu nhóm người sử dụng o Sử dụng cho phiên logic sau bỏ Khóa (Master Key): o Dùng để mã khóa phiên o Chia sẻ người sử dụng trung tâm phân phối khóa Vấn đề phân phối khóa Đối với mạng lớn địi hỏi phân cấp Trung tâm phân phối khóa KDC, cần phải tạo tin cậy cho nhau, người sử dụng với Trung tâm Trung tâm với Thời gian sống khóa phận cần hạn chế an toàn Sử dụng phân phối khóa tự động thay mặt người dùng phải có hệ thống tin cậy, khóa cấp phát sinh ngẫu nhiên tốt Cần phải có hệ thống phân phối khóa phân tán phân cấp Đồng thời cần hỗ trợ kiểm sốt mục đích sử dụng khóa Tự động phân phối khóa cho giao thức hướng kết nối Máy chủ gửi gói yêu cầu kết nối Bộ xử lý đầu cuối FEP lưu gói đề nghị KDC cấp khóa phiên KDC cấp mã khóa phiên gửi cho hai xử lý đầu cuối người nhận người gửi Gói lưu mã hố khóa phiên gửi mạng 6.2 Kerberos Đây mơ hình Hệ thống khóa máy chủ tin cậy MIT (Trường Đại học Kỹ thuật Massachusetts) để cung cấp xác thực có bên thứ ba dùng khóa riêng tập trung Cho phép người sử dụng truy cập vào dịch vụ phân tán mạng Tuy nhiên không 102 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực cần thiết phải tin cậy máy trạm, thay cần tin cậy máy chủ xác thực trung tâm Đã có hai phiên sử dụng là: Kerberos Kerberos 6.2.1 Các yêu cầu Kerrberos Trong môi trường phân tán, người sử dụng máy trạm muốn truy cập đến dịch vụ máy chủ phân tán Chúng ta muốn máy chủ hạn chế truy cập có khả xác thực yêu cầu dịch vụ Yêu cầu hệ thống Kerberos An toàn Tin cậy Trong suốt Có thể mở rộng 6.2.2 Tổng quan Kerberos Là sơ đồ xác thực dùng bên thứ ba có máy chủ xác thực (AS – Authentication Server) Người dùng thỏa thuận với AS danh tính mình, AS cung cấp tin cậy xác thực thông qua thẻ cấp thẻ TGT (Ticket Granting Ticket) Người sử dụng thường xuyên yêu cầu TGS cho truy cập đến dịch vụ khác dựa thẻ cấp thẻ TGT người sử dụng máy chủ cung cấp thẻ (TGS – Ticket Granting Server) cung cấp thẻ dịch vụ theo yêu cầu thẩm quyền 6.2.3 Trao đổi Kerberos Người sử dụng nhận thẻ cấp từ máy chủ xác thực AS, thẻ cho phiên làm việc nhận thẻ cấp dùng dịch vụ (Service Granting Ticket) từ TGT Mỗi thẻ dùng cho dịch vụ khác yêu cầu, thông qua việc trao đổi máy chủ/trạm để nhận dịch vụ IT201_Bai 6_v1.0011103219 103 Bài 6: Các ứng dụng xác thực 6.2.4 Các lãnh địa Kerberos Môi trường Kerberos bao gồm: máy chủ Kerberos, số máy trạm đăng ký với máy chủ, máy chủ ứng dụng chia sẻ khóa với máy chủ Một hệ thống gọi lãnh địa Kerberos Thông thường miền hành Nếu có nhiều lãnh địa máy chủ Kerberos cần phải chia sẻ khóa tin cậy 6.2.5 Kerberos phiên Kerberos phát triển vào năm 1990, thiết kế theo chuẩn RFC Nó cung cấp cải tiến so với phiên 4, cụ thể hướng tới thiếu sót mơi trường, thuật tốn mã, thủ tục mạng, thứ tự byte thông điệp, thời gian sử dụng thẻ, truyền tiếp xác thực, xác thực lãnh địa khác biệt kỹ thuật như: mã kép dùng mã hai lần thẻ khóa mật máy chủ đích khóa riêng người sử dụng, khắc phục dạng sử dụng không chuẩn phiên trước, khóa phiên mã khóa xác thực TGS cộng thêm với yếu tố thời gian lần sử dụng, chống công mật Sau ta xem xét chi tiết mơ hình Kerberos Kerberos giao thức xác thực mạng, cho phép cá nhân giao tiếp với mạng khơng an tồn cách xác thực người dùng với người dùng khác theo chế bảo mật an tồn Kerberos ngăn chặn việc nghe trộm thơng tin công thay đảm bảo tính tồn vẹn liệu Kerberos hoạt động theo mơ hình máy trạm/máy chủ thực q trình xác thực chiều - người dùng dịch vụ xác thực lẫn Kerberos xây dựng dựa mơ hình mã hóa khóa đối xứng đòi hỏi thành phần thứ ba tin cậy tham gia vào trình xác thực 104 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực 1) Mô tả giao thức Kerberos sử dụng đối tác tin cậy thứ ba để thực trình xác thực gọi Trung tâm phân phối khóa bao gồm phần riêng biệt: máy chủ xác thực (AS) máy chủ cấp thẻ (TGS) Kerberos làm việc dựa thẻ để thực trình xác thực người dùng Kerberos trì sở liệu chứa khóa bí mật Mỗi thực thể mạng (máy trạm máy chủ) chia sẻ khóa bí mật thân với Kerberos Để thực trình giao tiếp hai thực thể, Kerberos tạo khóa phiên Khóa dùng để bảo mật trình tương tác thực thể với 2) Hoạt động Kerberos Quá trình hoạt động giao thức (AS = Máy chủ xác thực, TGS = Máy chủ cấp thẻ, C = Máy trạm, S = Dịch vụ): Người dùng nhập vào tên truy cập mật phía máy trạm Máy trạm thực thuật toán băm chiều mật nhập vào biến trở thành khóa bí mật người dùng Máy trạm gửi thông điệp dạng rõ đến AS để yêu cầu dịch vụ Khơng có khóa bí mật mật gởi đến AS AS kiểm tra xem có tồn người dùng C sở liệu hay khơng Nếu có, gửi ngược lại cho máy trạm hai thông điệp: o Thông điệp A: chứa khóa phiên Máy trạm/TGS mã hóa khóa bí mật người dùng o Thơng điệp B: chứa Thẻ (bao gồm ID máy trạm, địa mạng máy trạm, kỳ hạn thẻ có giá trị khóa phiên máy trạm/TGS) mã hóa sử dụng khóa bí mật TGS Khi máy trạm nhận thơng điệp A B, giải mã thơng điệp A để lấy khóa phiên máy trạm/TGS Khóa phiên sử dụng cho q trình trao đổi với TGS Ở máy trạm giải mã thơng điệp B mã hóa khóa bí mật TGS Khi yêu cầu dịch vụ (S), máy trạm gửi hai thông điệp sau đến TGS: o Thông điệp C: Gồm thông điệp B ID dịch vụ yêu cầu o Thông điệp D: chứa Authenticator (gồm ID máy trạm nhãn thời gian -timestamp) mã hóa khóa phiên máy trạm/TGS Khi nhận thông điệp C D, TGS giải mã thông điệp D sử dụng khóa phiên máy trạm/TGS gửi hai thơng điệp ngược lại cho máy trạm: o Thông điệp E: chứa thẻ (máy trạm đến máy chủ) (bao gồm ID máy trạm, địa mạng máy trạm, kỳ hạn thẻ có giá trị khóa phiên máy trạm/dịch vụ) mã hóa khóa bí mật dịch vụ o Thơng điệp F: chứa khóa phiên máy trạm/máy chủ mã hóa khóa phiên máy trạm/TGS Khi nhận thông điệp E F, máy trạm sau gởi Authenticator thẻ (máy trạm đến máy chủ) đến máy chủ chứa dịch vụ yêu cầu IT201_Bai 6_v1.0011103219 105 Bài 6: Các ứng dụng xác thực o o Thông điệp G: chứa thẻ (máy trạm đến máy chủ) mã hóa sử dụng khóa bí mật máy chủ Thơng điệp H: Authenticator chứa ID máy trạm, Timestamp mã hóa sử dụng khóa phiên máy trạm/máy chủ Sau đó, máy chủ giải mã thẻ sử dụng khóa bí mật gửi thơng điệp cho máy trạm để xác nhận tính hợp lệ thực máy trạm sẵn sàng cung cấp dịch vụ cho máy trạm o Thông điệp I: chứa giá trị Timestamp Authenticator gửi máy trạm cộng thêm 1, mã hóa khóa phiên máy trạm/máy chủ Máy trạm giải mã xác nhận sử dụng khóa chia sẻ với máy chủ, kiểm tra xem giá trị timestamp có cập nhật hay không Nếu đúng, máy trạm tin tưởng máy chủ bắt đầu đưa yêu cầu dịch vụ gửi đến máy chủ Máy chủ cung cấp dịch vụ yêu cầu đến máy trạm 3) Hạn chế Kerberos Kerberos thích hợp cho việc cung cấp dịch vụ xác thực, phân quyền bảo đảm tính mật thơng tin trao đổi phạm vi mạng hay tập hợp nhỏ mạng Tuy nhiên, khơng thật thích hợp cho số chức khác, chẳng hạn ký điện tử (yêu cầu đáp ứng hai nhu cầu xác thực bảo đảm không chối cãi được) Một giả thiết quan trọng giao thức Kerberos máy chủ mạng cần phải tin cậy Ngoài ra, người dùng chọn mật dễ đốn hệ thống dễ bị an tồn trước kiểu cơng từ điển, tức kẻ công sử dụng phương thức đơn giản thử nhiều mật khác tìm giá trị Do hệ thống hoàn toàn dựa mật để xác thực người dùng, thân mật bị đánh cắp khả cơng hệ thống khơng có giới hạn Điều dẫn đến yêu cầu Trung tâm phân phối khóa cần bảo vệ nghiêm ngặt Nếu khơng tồn hệ thống trở nên an toàn Toàn vẹn liệu Đối với hệ bảo mật toàn vẹn liệu u cầu khơng thể thiếu, để đảm bảo tính tồn vẹn liệu thực sự, thuật mã hoá mã hố băm, mã xác nhận thơng điệp (MAC) chữ ký điện tử triển khai đồng loạt Về bản, biện pháp sử dụng hàm chiều, nghĩa liệu bị giải mã biết khóa để mã hố 6.3 Cơ sở hạ tầng Khóa công khai PKI Nhiệm vụ PKI: Quản lý danh tính người sử dụng với khóa cơng khai người Cấp chứng nhận Chủ quyền Giấy chứng nhận CA cho người sử dụng Huỷ Thu hồi giấy chứng nhận khơng cịn hiệu lực Tạo Thư mục để lưu trữ chứng nhận danh sách thu hồi (CRL) Cung cấp dịch vụ sẵn sàng cung cấp cho người sử dụng như: đăng ký, truy cập, xin giấy chứng nhận, đưa danh sách thu hồi CRL 106 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực 6.4 An toàn thư điện tử Thư điện tử dịch vụ mạng coi trọng ứng dụng rộng rãi Tuy nhiên nội dung mẩu tin bị quan sát đường truyền người có thẩm quyền thích hợp hệ thống đầu cuối Nâng cao an toàn thư điện tử mục đích quan trọng hệ thống trao đổi thư Ở phải đảm bảo yêu cầu sau: tính bảo mật nội dung tin gửi, xác thực người gửi mẩu tin, tính tồn vẹn mẩu tin, bảo vệ khỏi bị sửa, tính chống từ chối gốc, chống từ chối người nhận 6.4.1 Dịch vụ PGP PGP (Pretty Good Privacy) dịch vụ bảo mật xác thực sử dụng rộng rãi cho chuẩn an toàn thư điện tử PGP phát triển Phil Zimmermann Ở lựa chọn thuật tốn mã hố tốt để dùng, tích hợp thành chương trình thống nhất, chạy Unix, PC, Macintosh hệ thống khác Ban đầu miễn phí, có phiên thương mại Sau xem xét hoạt động PGP Thao tác PGP – xác thực Người gửi tạo mẩu tin, sử dụng SHA-1 để sinh Hash 160 bit mẩu tin, ký hash với RSA sử dụng khóa riêng người gửi đính kèm vào mẩu tin Người nhận sử dụng RSA với khóa cơng khai người gửi để giải mã khôi phục hash Người nhận kiểm tra mẩu tin nhận sử dụng hash so sánh với hash giải mã Thao tác PGP – bảo mật Người gửi tạo mẩu tin số ngẫu nhiên 128 bit khóa phiên cho nó, mã hố mẩu tin sử dụng CAST-128/IDEA/3DES chế độ CBC với khóa phiên Khóa phiên mã sử dụng RSA với khóa cơng khai người nhận đính kèm với mẩu tin IT201_Bai 6_v1.0011103219 107 Bài 6: Các ứng dụng xác thực Người nhận sử dụng RSA với khóa riêng để giải mã khơi phục khóa phiên Khóa phiên sử dụng để giải mã mẩu tin Thao tác PGP - Bảo mật xác thực Có thể sử dụng hai dịch vụ mẩu tin Tạo chữ ký đính vào mẩu tin, sau mã mẩu tin chữ ký Đính khóa phiên mã hố RSA/ElGamal Thao tác PGP – nén Theo mặc định PGP nén mẩu tin sau ký trước mã Như cần lưu mẩu tin chưa nén chữ ký để kiểm chứng sau Vì nén khơng Ở sử dụng thuật tốn nén ZIP Thao tác PGP – tương thích thư điện tử Khi sử dụng PGP có liệu nhị phân để gửi (mẩu tin mã) Tuy nhiên thư điện tử thiết kế cho văn Vì PGP cần mã liệu nhị phân thô vào ký tự ASCII in Sau sử dụng thuật toán Radix 64, ánh xạ byte vào ký tự in bổ sung kiểm tra thừa quay vòng CRC để phát lỗi truyền PGP chia đoạn mẩu tin lớn Tóm lại, cần có khóa phiên cho mẩu tin có kích thước khác nhau: 56 bit – DES, 128 bit CAST IDEA, 168 bit Triple – DES, sinh sử dụng liệu đầu vào ngẫu nhiên lấy từ sử dụng trước thời gian gõ bàn phím người sử dụng 6.4.2 Khóa riêng cơng khai PGP Vì có nhiều khóa riêng khóa cơng khai sử dụng nên cần phải xác định rõ dùng để mã khóa phiên mẩu tin Có thể gửi khóa cơng khai đầy đủ với mẩu tin Nhưng điều khơng đủ cần phải nêu rõ danh tính người gửi Do sử dụng định danh khóa để xác định người gửi Có 64 bit có ý nghĩa khóa nhất, sử dụng định danh khóa chữ ký 108 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực Định dạng thơng điệp PGP Các chùm khóa PGP Mỗi người sử dụng PGP có cặp chùm khóa Chùm khóa cơng khai chứa khóa cơng khai người sử dụng PGP khác người biết đánh số định danh khóa (ID key) Chùm khóa riêng chứa cặp khóa cơng khai/riêng người đánh số định danh khóa mã khóa lấy từ giai đoạn duyệt băm hash An tồn khóa cơng khai phụ thuộc vào độ an toàn giai đoạn duyệt Private Key Ring Timestamp Key ID* Public Key Enerypted Private Key User ID* ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● T1 KUimod 264 KU1 EH(P1)[KR1] User ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Public Key Ring Timestamp IT201_Bai 6_v1.0011103219 Key ID* Public Key Owner Trust User ID* Key Legitimacy Signature (s) Signature ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Trust (s) 109 Bài 6: Các ứng dụng xác thực ● ● ● ● ● ● ● ● T1 KUimod 264 KU1 Trust_flagi User i Trust_flagi ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Sinh mẩu tin PGP Sơ đồ sau mơ tả quy trình sinh mẩu tin PGP để gửi cho người nhận: Nhận mẩu tin PGP: Sơ đồ sau nêu cách người nhận giải mã, kiểm chứng thông tin để đọc mẩu tin: 110 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực 6.4.3 Quản lý khóa PGP Tốt hết dựa vào chủ quyền chứng nhận Trong PGP người sử dụng có CA Có thể ký khóa cho người sử dụng mà biết trực tiếp Tạo thành “Web niềm tin”, cần tin cậy khóa ký tin cậy khóa mà người khác ký dùng dây chuyền chữ ký đến Chùm khóa chứa dẫn tin cậy Người sử dụng thu hồi khóa họ IT201_Bai 6_v1.0011103219 111 Bài 6: Các ứng dụng xác thực TÓM LƯỢC CUỐI BÀI Chúng ta xem xét vấn đề sau học xong này: Phân phối quản lý khóa cơng khai, khóa chính, khóa phiên Hệ thống xác thực tin cậy Kerberos Hạ tầng khóa công khai PKI Hệ thống thư điện tử PGP 112 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực CÂU HỎI TỰ LUẬN Ưu nhược điểm việc quản lý khóa cơng khai thư mục cơng cộng? Ưu nhược điểm việc quản lý khóa cơng khai chủ quyền khóa cơng khai? Ưu nhược điểm việc quản lý khóa cơng khai chủ quyền chứng nhận khóa cơng khai? Giải thích sơ đồ trao đổi trực tiếp khóa mật dùng chung khóa cơng khai? Giải thích sơ đồ trao đổi khóa mật dùng chung phương pháp kết hợp dùng khóa công khai với hỗ trợ bên thứ ba? Mục đích dùng khóa khóa phiên gì? Thời gian sử dụng chúng khác nào? Nêu vấn đề gặp phải giải tốn phân phối khóa? Nêu mục đích yêu cầu hệ thống Kerberos? Nêu cấu tạo mơ hình Kerberos việc u cầu dịch vụ lãnh địa khác thực nào? 10 Mô tả giao thức xác thực sử dụng dịch vụ hệ thống Kerberos? 11 Kerberos phiên có cải tiến gì? Giải thích q trình sinh khóa từ mật khẩu? 12 Mơ tả hoạt động sở hạ tầng khóa cơng khai PKI? 13 Nêu nhiệm vụ an ninh Hệ thống thư điện tử? 14 Giải thích sơ đồ bảo mật thư điện tử? 15 Giải thích sơ đồ xác thực thư điện tử? 16 Mô tả bước gửi thư điện tử? 17 Mô tả bước nhận thư điện tử? BÀI TẬP TRẮC NGHIỆM Giải pháp an toàn để phân phối khóa cơng khai? (A) Thơng báo cơng khai; (B) Thư mục cơng cộng; (C) Chủ quyền khóa cơng khai; (D) Chủ quyền cấp giấy chứng nhận Đâu ưu điểm Chủ quyền cấp giấy chứng nhận so với chủ quyền khóa cơng khai? (A) Chủ quyền khóa cơng khai cung cấp trực tuyến khóa cơng khai; (B) Chủ quyền chứng nhận cấp giấy chứng nhận khóa cơng khai; (C) Cả hai cho phép người sử dụng dễ dàng thay đổi khóa cơng khai mình; (D) Chủ quyền khóa cơng khai dùng online, chủ quyền chứng nhận offline Giải pháp khơng dùng để phân phối cơng khai khóa mật hai người sử dụng? (A) Dùng Trung tâm phân phối khóa KDC hỗ trợ phân phối khóa; (B) Trao đổi trực tiếp khóa mật dùng thủ tục trao đổi khóa Diffie-Helman; (C) Trao đổi khóa mật khóa mật cũ; (D) Trao đổi trực tiếp khóa mật dùng khóa công khai; IT201_Bai 6_v1.0011103219 113 Bài 6: Các ứng dụng xác thực Trong phương pháp kết hợp phân phối khóa, điều khơng đúng? (A) Mỗi người sử dụng Trung tâm phân phối khóa KDC có cặp khóa riêng khóa cơng khai; (B) Trung tâm dùng khóa cơng khai để tạo khóa KDC người sử dụng; (C) Người sử dụng dùng khóa cơng khai để trao đổi khóa phiên với người sử dụng khác; (D) Người sử dụng dùng khóa để xin KDC tạo khóa phiên với người sử dụng khác Tự động phân phối khóa cho giao thức hướng đối tượng khơng sử dụng (A) Máy chủ gửi gói tin kèm với cầu kết nối với máy chủ khác; (B) Cả bên nhận bên gửi cần thỏa thuận trước khóa phiên trước gửi gói tin; (C) Bộ xử lý đầu cuối lưu gói tin yêu cầu KDC cấp khóa phiên; (D) KDC cấp khóa phiên cho hai xử lý đầu cuối sau mã hóa, truyền gói tin lưu Đối với Kerberos điều khẳng định sau không đúng? (A) Hệ thống máy chủ xác thực tin cậy; (B) Xác thực lần cho phiên làm việc; (C) Cung cấp nhiều loại dịch vụ phân tán kiểm soát quyền truy cập; (D) Mỗi lần sử dụng dịch vụ hệ thống cần phải xác thực để kiểm soát quyền truy cập Mục yêu cầu Kerberos? (A) An toàn; (B) Tin cậy; (C) Xác thực tập trung; (D) Có thể mở rộng Vấn đề không thuộc cải tiến Kerberos 5? (A) Tạo khóa mã từ mật khẩu; (B) Gửi khóa phiên thẻ mã khóa sinh từ mật khẩu; (C) Cấp thẻ khóa truy cập vào máy chủ ứng dụng; (D) Thêm yếu tố thời gian vào khóa cho dịch vụ để chống dùng lặp lại Mục khơng nằm quy trình xác thực Kerberos? (A) Người dùng nhập vào tên truy cập mật phía máy trạm; (B) Tên mật chuyển đến máy chủ xác thực để kiểm tra; (C) Máy trạm gửi thông điệp dạng rõ đến AS để yêu cầu dịch vụ; (D) AS kiểm tra xem có tồn người dùng cở sở liệu hay khơng Nếu có, gửi ngược lại cho máy trạm thơng điệp mã khóa sinh từ mật người dùng 10 Mục khơng nằm quy trình sinh khóa từ mật khẩu? (A) Chuyển mật thành dịng bit; (B) Chuyển dịng bit thành khóa đầu vào; 114 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực (C) Khoá đầu vào mã khối mật theo chế độ dây chuyền tạo đầu 64 bit cộng XOR với khóa đầu vào tạo 64 bit làm khóa; (D) Khóa đầu vào mã khối mật theo chế độ dây chuyền tạo đầu 64 bit làm khóa 11 Điều khơng với hạ tầng khóa cơng khai? (A) Đây thuật tốn mã hóa công khai; (B) Đây chế quản lý phân phối khóa cơng khai; (C) Giấy chứng nhận ký mã công khai chủ quyền chứng nhận; (D) Có danh sách thu hồi giấy chứng nhận 12 Đâu thành phần hạ tầng khóa cơng khai? (A) Chủ quyền đăng ký CR; (B) Chủ quyền chứng nhận CA; (C) Chủ quyền khóa cơng khai; (D) Xuất danh sách thu hồi CRL 13 Đâu thao tác PGP? (A) Bảo mật; (B) Xác thực; (C) Không đồng thời xác thực bảo mật được; (D) Nén chuyển liệu thành ký tự in 14 Sơ đồ tổng quát người gửi khơng bao gồm (A) Nếu có ký, ký nén; (B) Nén, xét đến việc ký hay khơng; (C) Sau nén, xét đến việc có bảo mật hay không; (D) Sau bảo mật dùng hàm chuyển R64 15 Trong chùm khóa riêng khơng có trường nào? (A) Nhãn thời gian khóa cơng khai; (B) Mã khóa riêng; (C) Khóa riêng; (D) Mã người sử dụng 16 Trong chùm khóa cơng khai khơng có trường nào? (A) Nhãn thời gian khóa cơng khai; (B) Mã khóa riêng; (C) Mã người sử dụng; (D) Chữ ký chứng nhận 17 Trong định dạng mẩu tin PGP khơng có trường nào? (A) Thành phần khóa phiên gồm mã khóa khóa cơng khai người nhận; (B) Thành phần chữ ký gồm nhãn thời gian, khóa cơng khai người gửi, ký băm; (C) Thành phần mẩu tin; IT201_Bai 6_v1.0011103219 115 Bài 6: Các ứng dụng xác thực (D) Thành phần tham số 18 Trong trình sinh mẩu tin để gửi điều sau khơng đúng? (A) Người gửi nhập mật khẩu, băm thành khóa để giải mã khóa riêng; (B) Người gửi ký cách mã băm khóa riêng; (C) Người gửi dùng khóa phiên thỏa thuận để mã mẩu tin; (D) Người gửi mã khóa phiên sinh ngẫu nhiên mã khóa phiên khóa cơng khai người nhận 19 Trong trình nhận mẩu tin điều sau không đúng? (A) Người nhận nhập mật khẩu, băm thành khóa giải mã khóa riêng; (B) Người nhận lấy khóa phiên thỏa thuận; (C) Người nhận dùng khóa riêng giải mã lấy khóa phiên; (D) Người nhận dùng khóa phiên giải mã mẩu tin dùng khóa công khai băm tin để kiểm tra chữ ký 116 IT201_Bai 6_v1.0011103219 ... dịch vụ khác khơng? Có thể giả mạo danh tính hệ thống thư điện tử sửa nội dung thư không? 98 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực 6.1 Quản lý khóa 6.1.1 Phân phối khóa Mã khóa... phối khóa Cụ thể kịch sau hai người sử dụng chia sẻ khóa cơng khai cho thơng qua việc sử dụng IT201_Bai 6_v1.0011103219 99 Bài 6: Các ứng dụng xác thực khóa cơng khai Chủ quyền để nhận khóa cơng... Phân phối khóa mật đơn giản Phân phối khóa mật đơn giản đề xuất Merkle vào năm 1979: 100 IT201_Bai 6_v1.0011103219 Bài 6: Các ứng dụng xác thực o o o o A tạo cặp khóa cơng khai tạm thời A gửi
