Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 38 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
38
Dung lượng
1,3 MB
Nội dung
T P ĐOÀN B U CHệNH VI N THỌNG VI T NAM H C VI N CỌNG NGH B U CHệNH VI N THỌNG - Bảo m t Email dùng PGP & Thunderbird Enigmal L P : M13CQIS01-N Đề tài môn học: AN NINH M NG Giảng viên : TS NGUY N H NG S N DANH SÁCH NHÓM 8: Họ tên: Mã học viên Lý Triều Long N13CHIS037 Nguy n Th Yến Nhi N13CHIS046 Huỳnh Th ch Thảo N13CHIS053 Nguy n Ph m Phúc Trơn N13CHIS059 TP H CHệ MINH 10/2014 TÓM T T Mục tiêu đ án: Tìm hiểu điểm yếu dễ bị cơng hệ thống email Các giải pháp bảo mật cho hệ thống email Tìm hiểu chế phòng chống spam mail Triển khai hệ thống bảo mật email PGP Cấu trúc đ án: Chương 1: Giới thiệu tổng quan SMTP, POP3, IMAP Chương 2: Các nguy bị công sử dụng hệ thống email Chương 3: Các giải pháp bảo mật hệ thống email Mục lục: Chương 1: Giới thiệu tổng quan SMTP, POP3, IMAP 1.1 Kiến trúc hoạt động c a thư điện tử 1.2 Giới thiệu giao th c SMTP 1.3 Giới thiệu giao th c POP IMAP 10 Chương II: Các nguy bị công sử dụng email 13 2.1 Sự thiếu bảo mật hệ thống email 13 2.2 Các nguy trình gửi email 13 Chương 3: Các giải pháp bảo mật email 17 3.1 Các chế mã hóa email 17 3.1.1 Mã hóa xác thực PGP 17 3.1.2 Mã hóa xác thực MIME 18 3.2 ng dụng PGP 18 3.2.1 Cài đặt 18 3.2.2 Sử dụng khóa 22 3.2.3 Mã hoá giải mã hoá (Encrypt And Decrypt) 30 3.2.4 Quá trình ký nhận kiểm tra chữ ký (Sign And Checking Signatures) 34 Ch ng 1: Gi i thi u tổng quan SMTP, POP3, IMAP 1.1 Kiến trúc ho t đ ng c a th n tử Muốn gửi thư điện tử ngư i gửi cần phải có account máy ch thư Một máy ch có nhiều account Mỗi account mang tên khác (user) Mỗi account có hộp thư riêng (mailbox) cho account Thơng thư ng tên c a hộp thư giống tên c a account Ngồi máy vi tính phải nối trực tiếp gián tiếp với hệ thống Internet muốn gửi nhận thư điện tử toàn cầu Ngư i sử dụng máy vi tính nhà gửi nhận thư điện tử cách kết nối máy vi tính c a họ với máy vi tính khác modem Có số nơi cấp phát account thư điện tử miễn phí cho máy vi tính nhà dùng modem để kết nối với máy vi tính để chuyển nhận thư điện tử hotmail.com yahoo.com v.v Ngồi ra, cịn có nhiều quan thương mại cung cấp dịch vụ account cho máy vi tính nhà ngư i sử dụng phải trả tiền dịch vụ hàng tháng Đường thư Thư điện tử chuyển từ máy máy ch thư điện tử (mail server) tới máy ch tư điện tử khác internet Khi thư chuyển đến đích ch a hộp thư điện tử máy ch thư điện tử nhận b i ngư i nhận Tồn trình xử lý xảy vài phút, cho phép nhanh chóng liên lạc với ngư i toàn giới cánh nhanh chóng bất c th i điểm dù ngày hay đêm Gửi, nhận chuyển thư Để nhận thư điện tử bạn cần phải có tài khoản (account) thư điện tử Một thuận lợi với thư thơng thư ng nhận thư điện tử từ bất c đâu Chỉ cần kết nối vào Server thư điện tử để lấy thư máy tính c a Để gửi thư cần phải có kết nối vào internet truy nhập vào máy ch thư điện tử để chuyển thư Th tục tiêu chuẩn sử dụng để gửi thư SMTP (Simple Mail Transfer Protocol) Nó kết hợp với th tục POP (Post Office Protocol) IMAP để lấy thư Mơ hình hệ thống máy chủ thư điện tử: Với hệ thống máy ch thư điện tử cung cấp cho đơn vị vừa nhỏ tồn hệ thống thư ng tích hợp vào máy ch Và máy ch vừa làm ch c nhận, gửi thư, lưu trữ hộp thư kiểm soát thư vào - Sử dụng th tục SMTP để chuyển, nhận thư máy ch thư với - Sử dụng th tục SMTP phép mail client gửi thư lên máy ch - Sử dụng th tục POP IMAP đển mail client nhận thư 1.2 Gi i thi u giao th c SMTP Giới thiệu Mục tiêu c a SMTP để chuyển truyền email tin cậy hiệu SMTP không phụ thuộc hệ thống yêu cầu kênh truyền liệu đáng tin cậy Một tính quan trọng c a SMTP c a khả relay(chuyển tiếp) mail qua môi trư ng dịch vụ truyền thông Một dịch vụ truyền thông cung cấp môi trư ng truyền thơng tiến trình (IPCE) Một IPCE bao gồm mạng, số mạng, hay hệ thống mạng Có thể hiểu IPCE mơi trư ng cho phép tiến trình giao tiếp qua lại trực tiếp với tiến trình khác Điều quan trọng IPCE khơng có quan hệ 1-1 mạng Một tiến trình giao tiếp trực tiếp với nhiều tiến trình khác thơng qua IPCE Mail ng dụng c a truyền thơng liên tiến trình Mail truyền tải tiến trình nhiều IPCEs khác tiến trình kết nối hai (hay nhiều) IPCE Cụ thể hơn, email chuyển tiếp (relay) qua nhiều Host hệ thống chuyển tải khác qua Host trung gian Mơ hình SMTP Các SMTP thiết kế dựa mơ hình truyền thơng sau: - Khi có u cầu mail từ ngư i sử dụng, phía SMTP-send thiết lập kênh truyền hai chiều tới phía SMTP-receiver - SMTP-receiver đích đến cuối địa trung gian - SMTP-send gửi SMTP commands đến SMTP-receiver - SMTP-receiver đáp ng SMTP commands cách gửi trả cho SMTP-send SMPT replies tương ng Một kênh truyền thiết lập, SMTP-sender gửi MAIL command cho biết ngư i gửi Nếu SMTP-receiver chấp nhận mail đáp ng OK reply Sau SMTP-sender lại gửi RCPT command cho biết ngư i nhận mail, SMTPreceiver chấp nhận mail cho ngư i nhận reply lại OK, khơng reply lại mail bị loại bỏ Nếu SMTP-receiver reply OK SMTP-sender gửi liệu mail tới phía nhận kết thúc command đặc biệt Nếu SMTP-receiver xử lý thành cơng liệu mail reply lại OK - SMTP cung cấp nhiều kĩ thuật cách khác để gửi mail: Truyền thẳng host phía gửi host phía nhận kết nối tới dịch vụ truyền tải Thơng qua máy ch SMTP host phía gửi host phía nhận khơng kết nối tới dịch vụ truyền tải Đối số cho mail command tuyến ngược (reverse-path), ghi rõ mail gửi từ Đối số cho RCPT command tuyến chuyển tiếp (forward-path), mail gửi cho Tuyến chuyển tiếp tuyến nguồn, tuyến ngược tuyến quay tr (có thể dùng để trả lại thơng báo cho ngư i gửi lỗi xảy với message chuyển tiếp) Khi message gửi đến nhiều ngư i nhận, SMTP khuyến khích việc truyền tải có c a liệu cho tất ngư i nhận máy ch đích Các mail command reply có cú pháp c ng nhắc Các reply có mã số Trong phần sau đây, mà xuất ví dụ thực tế sử dụng mail command reply, danh sách đầy đ command reply Các command reply trư ng hợp nhạy cảm T c là, từ command reply chữ thư ng, hoa, hay hỗn hợp Lưu ý điều không với tên ngư i sử dụng hộp thư Vì số máy tên ngư i sử dụng trư ng hợp nhạy cảm, triển khai SMTP phải đưa trư ng hợp để bảo vệ trư ng hợp tên ngư i dùng giống với tham số mailbox Tên máy ch trư ng hợp nhạy cảm Các command reply gồm kí tự ASCII Khi dịch vụ chuyển thư cung cấp kênh truyền byte 8bit (octet), kí tự bit đưa vào bit thấp c a octet, bit cao c a octet xóa Khi cụ thể hóa dạng chung c a lệnh reply, đối số biểu diễn biến(hay hằng) ngôn ngữ meta, chẳng hạn, “” “” Khi xác định hình th c chung c a lệnh trả l i, đối số dấu ‘Edit private key…-> Change expiration Ta thay đổi pass pharse c a key :Chọn key vào menu Keys->Edit private key…-> Change passphrase : 27 Chắc đến bạn đặt câu hỏi lại phải xuất Keys ? Hiểu cách đơn giản xuất khố bạn có khả trao đổi liệu cách an toàn với nhiều dùng khác Internet Khi xuất Public Key bạn chia sẻ với bất c muốn trao đổi thơng tin với bạn cách an toàn 3.2.2.2 Nh p khố (Import Keys) Khi bạn có Public Key c a Bạn cần phải Add vào Key Database c a bạn để sau sử dụng đến Bạn dùng để giải mã hố liệu ch nhân c a mã hố Public Key mà bạn có lần sau 28 3.2.2.3 Huỷ bỏ khố (Revoke A Keys) B i vài lý như: Secret Key bị mất, UID bị thay đổi, khơng đáp ng nhu cầu c a bạn hay đơn giản bạn không muốn sử dụng Key Bạn muốn huỷ bỏ chúng Để thực điều bạn cần Secret Key khác để đảm bảo có ch s hữu thực có quyền huỷ bỏ Key Lúc khơng biết Passphrase c a Key việc sẻ tr lên vơ ích, thật bất lợi Để khắc phục vấn đề này, GnuPG cấp cho bạn cho phép huỷ bỏ Key "License Revoke" bạn tạo cặp khoá Bạn lên cất giữ cách cẩn thận B i bị lọt ngồi hậu c a nghiêm trọng Để thực điều bạn cần Secret Key khác để đảm bảo có ch s hữu thực có quyền huỷ bỏ Key Lúc này! khơng biết Passphrase c a Key việc sẻ tr lên vơ ích, thật bất lợi Để khắc phục vấn đề này, GnuPG cấp cho bạn cho phép huỷ bỏ Key "License Revoke" bạn tạo cặp khố Bạn lên cất giữ cách cẩn thận B i bị lọt hậu c a nghiêm trọng Đây lệnh quan trọng trình sử dụng Keys Nó sử dụng để thay đổi thông tin th i hạn cuả Keys (Expiration Dates), thêm vào Fingerprint chỉnh sửa thông tin quan trọng khác Trước bắt đầu trình chỉnh sửa, để đảm bảo an toàn GnuPG yêu cầu bạn vào thông tin Passphrase 29 3.2.3 Mã hoá giải mã hoá (Encrypt And Decrypt) Sau cơng việc cài đặt cấu hình xong xuôi Bây gi bắt đầu xem xét đến tính c a GnuPG mã hố giải mã hoá Bạn cần biết trình mã hố giải mã hố khơng cần Public Key Secret Key c a bạn mà cần đến Public key c a ngư i mà bạn muốn trao đổi liệu với họ cách an tồn Khi mã hố đối tượng liệu cho ngư i khác bạn phải chọn Public Key c a họ để mã hố Sau gửi cho họ, họ dùng 30 Secret Key c a để giải mã hố liệu mà bạn mã hố Public Key c a họ Chính phương pháp mã hố liệu tỏ an tồn 3.2.3.1 Mã hố (Encrypt) Trước muốn mã hoá liệu trao đổi với họ bạn phải có bổ xung Public Key c a họ vào Database Key c a bạn Nói cách dễ hiểu ta dùng Public Key c a họ để mã hoá liệu gửi lại cho họ Ví dụ : Bước 1: Nhập file cần mã hóa Chọn ch c Encrypt Bước 2: Chọn public key cua userVinh , Sign User Vu Bước 3: Nhập vào public key c a user Vu 31 Tạo file mã hóa data.doc.asc 3.2.3.2 Giải mã hố (Decrypt) Q trình giải mã hố đơn giản hơn, sau nhận liệu mã hoá c a ta gửi cho Về phía ngư i nhận họ muốn giải mã hố Thực chất c a q trình giải mã hố liệu ngư i nhận dùng Secret Key c a họ để giải mã hoá liệu mà ta mã hố Public Key c a họ Dĩ nhiên, họ muốn trao đổi liệu mã hố GnuPG với ta họ làm việc tương tự nêu ta Ví dụ : user Vinh send liệu cho user Vu file data.doc.asc ( file mã hóa) user Vu muốn lấy liệu cần phải giải mã lại Các bước sau : Bước 1: chọn file cần giải mã Chọn ch c Decrypt 32 Bước : Cần nhập pass c a user Vu để lấy Secret Key Bước 3: Tạo file ban đầu la data doc 33 (Nếu khơng định dạng file chương trình báo lỗi) 3.2.4 Quá trình ký nh n ki m tra chữ ký (Sign And Checking Signatures) 3.2.4.1 Ký nh n: Bước 1: Vào ch c file Chọn file muốn ký nhận chọn ch c Sign Bước 2: 34 +Để ký nhận liệu Key c a ta chọn ch c :sign and compress +Nếu ta muốn có kết rõ ràng ta sử ch c : cleartext signature +Khi kết hiển thị không rõ ràng Nếu ta muốn tách riêng chữ ký c a file riêng biệt? Tính thư ng sử dụng để mã hoá file nhị phân (Binary) Ta sử dụng ch c sign in separate file Sau ký xong ta có kết quả: +Nếu chọn sign and compress : tạo file data.txt.pgp +Nếu chọn cleartext signature: tạo file data.txt.asc +Nếu chọn sign in separate file: tạo file data.txt.sig 3.2.4.2 Xác nh n: +Trước tiên ta vào WinPT t c quản lý khóa để chọn pass pharse c a user cho public key Chọn Key->sign 35 Rồi điền vào Passphrase: +Sau Ta Vào ch c file Chọn file muốn ký nhận chọn ch c Verify 36 Nếu file có chữ ký hợp lệ hiển thị : 37 TƠi li u tham khảo: [1] Network Security_Practice Approach [2] http://en.wikipedia.org/wiki/Pretty_Good_Privacy [3] http://www.enigmail.net/documentation/handbook.php [4] http://www.enigmail.net/documentation/basic.php [5] http://www.pgpi.org/doc/pgpintro 38