Bảo mật mạng 1 Ch ng 7ươ B o m t ả ậ m ngạ Computer Networking: A Top Down Approach Featuring the Internet , 3 rd edition. Jim Kurose, Keith Ross Addison-Wesley, July 2004. All material copyright 1996-2006 J.F Kurose and K.W. Ross, All Rights Reserved Slide này được biên dịch sang tiếng Việt theo sự cho phép của các tác giả Bảo mật mạng 2 Ch ng 7: B o m t m ngươ ả ậ ạ Mục tiêu: ❒ hiểu các nguyên lý của bảo mật mạng: ❍ m t mãậ ❍ ch ng th cứ ự ❍ tính toàn v nẹ ❍ khóa phân bố ❒ bảo mật trong thực tế: ❍ các firewall ❍ b o m t trong các l p application, transport, ả ậ ớ network, link 7.1 B o m t m ng là gì?ả ậ ạ B o m t m ngả ậ ạ 3 Bảo mật mạng 4 B o m t m ng là gì?ả ậ ạ Sự bảo mật: chỉ có người gửi, người nhận mới “hiểu” được nội dung thông điệp ❍ ng i g i mã hóa thông đi p ườ ử ệ ❍ ng i nh n gi i mã thông đi pườ ậ ả ệ Chứng thực: người gửi, người nhận xác định là nhận ra nhau Sự toàn vẹn thông điệp: người gửi, người nhận muốn bảo đảm thông điệp không bị thay đổi (trên đường truyền hoặc sau khi nhận) mà không bị phát hiện Truy cập & tính sẵn sàng: các dịch vụ phải có khả năng truy cập và sẵn sàng đối với các user Bảo mật mạng 5 B n và k thù: Alice, Bob, Trudyạ ẻ ❒ Bob, Alice (bạn bè) muốn truyền thông “an toàn” ❒ Trudy (kẻ xâm nhập) có thể ngăn chặn, xóa, thêm các thông điệp truy n ề an toàn nh n ậ an toàn kênh d li u, các thông ữ ệ đi p đi u khi nệ ề ể d li uữ ệ d li uữ ệ Alice Bob Trudy Bảo mật mạng 6 Bob, Alice có th là nh ng ai?ể ữ ❒ trình duyệt Web/server cho các giao dịch điện tử ❒ client/server ngân hàng trực tuyến ❒ DNS servers ❒ các router trao đổi thông tin cập nhật bảng routing ❒ .v.v. Bảo mật mạng 7 B n và k thùạ ẻ Hỏi: Kẻ xấu có thể làm những việc gì? Đáp: rất nhiều! ❍ nghe lén: ngăn ch n các thông đi p ặ ệ ❍ kích ho t ạ chèn các thông đi p vào trong k t n i ệ ế ố ❍ gi danh:ả có th gi m o đ a ch ngu n trong gói ể ả ạ ị ỉ ồ (ho c b t kỳ tr ng nào trong đó)ặ ấ ườ ❍ c p:ướ “ti p t c” k t n i hi n hành nh ng thay ế ụ ế ố ệ ư ng i g i ho c ng i nh n b ng chính h ườ ử ặ ườ ậ ằ ọ ❍ t ch i d ch v :ừ ố ị ụ d ch v hi n t i b ng i khác ị ụ ệ ạ ị ườ dùng (đ ng nghĩa quá t i)ồ ả ❍ .v.v. 7.2 Các nguyên lý mã hóa B o m t m ngả ậ ạ 8 Bảo mật mạng 9 Ngôn ng mã hóaữ khóa đối xứng: khóa bên gửi và bên nhận giống nhau khóa công cộng: khóa mã chung, khóa giải mã bí mật (riêng) văn b n g cả ố văn b n g cả ố văn b n đã mã hóaả K A gi i thu tả ậ mã hóa gi i thu tả ậ gi i mãả khóa mã c a Aliceủ khóa mã c a Bobủ K B Bảo mật mạng 10 Mã hóa khóa đ i x ngố ứ mật mã thay thế: thay thứ này thành thứ khác ❍ mã hóa ký t đ n: thay th t ng ký t m tự ơ ế ừ ự ộ văn bản gốc: abcdefghijklmnopqrstuvwxyz văn bản đã mã hóa: mnbvcxzasdfghjklpoiuytrewq văn bản gốc: bob. i love you. alice mã hóa thành: nkn. s gktc wky. mgsbc ví d :ụ H i:ỏ B khóa ki u mã hóa đ n gi n này d không?ẻ ể ơ ả ễ  brute force (khó nh th nào?)ư ế  khác? [...]...Mã hóa khóa đối xứng KA-B văn bản gốc, m KA-B giải thuật văn bản đã mã giải thuậtvăn bản gốc mã hóa giải mã K (m) m=K ( K (m) ) A-B A-B A-B khóa đối xứng: Bob và Alice cùng biết (đối xứng) khóa: K Ì Ì vd: khóa được biết trong mẫu mã hóa ký tự đơn A-B Hỏi: Làm thế nào Bob và Alice thỏa thuận giá trị khóa? Bảo mật mạng 11 Mã hóa khóa đối... cùng nhau) d=29 (vì ed-1 chia hết cho z) mã hóa: giải mã: ký tự m me l 12 1524832 c 17 d c 481968572106750915091411825223071697 c = me mod n 17 m = cd mod n ký tự 12 l Bảo mật mạng 20 RSA: m = (m e mod n) Tại sao là d mod n Kết quả của lý thuyết “số hữu ích”: Nếu p,q nguyên tố và n = pq, thì: y y mod (p-1)(q-1) x mod n = x mod n e (m mod n) d mod n = med mod n = m ed mod (p-1)(q-1) mod n (dùng lý thuyết... chọn các khóa 1 Chọn 2 số nguyên tố lớn p, q (mỗi số có thể đến 1024 bit) 2 Tính n = pq, z = (p-1)(q-1) 3 Chọn e (với e . g cả ố văn b n đã mãả K A-B giải thuật mã hóa giải thuật giải mã A-B K A-B văn b n g c, mả ố K (m) A-B K (m) A-B m = K ( ) A-B Bảo mật mạng 12 Mã hóa. [NIST 1993] ❒ khóa đối xứng 56-bit, văn bản gốc vào 6 4- bit ❒ Bảo mật trong DES như thế nào? ❍ ch a có cách ti p c n “backdoor-c a sau” đ gi i ư ế ậ ử ể ả mã ❒ làm