Bài tập lớn môn An Toàn Bảo Mật Thông Tin về chủ đề chữ ký điện tử RSA và ứng dụng để viết chương trình demo sản phẩm chữ ký điện tử bằng các ngôn ngữ cơ bản và thường dùng như C++, C, Python, PHP, ...
BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI Khoa Công Nghệ Thông Tin ~~~~~~*~~~~~~ BÀI TẬP LỚN Môn: An tồn bảo mật thơng tin Đề tài 03: Tìm hiểu chữ kí điện tử RSA viết ứng dụng minh họa Giảng viên hướng dẫn Lớp Nhóm Thành viên nhóm: : ThS Trần Phương Nhung : 20223IT6001001 : 03 Phùng Nguyễn Trương Nguyễn Nguyễn Hà Nội – 2023 Lời Mở Đầu Trong thời đại bùng nổ công nghệ thông tin nay, liệu cá nhân không gian mạng trở thành kho lưu trữ khổng lồ mà khơng có biện pháp bảo vệ tương xứng, cách tạo điều kiện thuận lợi để tội phạm hay phần tử xấu lợi dụng thực hành vi vi phạm pháp luật tiềm ẩn nguy an ninh thông tin Lợi dụng chủ quan, lơ đánh vào tâm lý “hám lời” người dân, đề nghị cung cấp thông tin sau chiếm đoạt hình thức chương trình khuyến mãi, bốc thăm trúng thưởng, mua hàng online, mini game có thưởng… Trong thực tế hacker, dạng virus công mối đe dọa nguồn tài nguyên thông tin Những vấn đề đảm bảo an tồn thơng tin hệ thống máy tính quan trọng Hiểu điều đó, nhóm chúng em thực xây dựng chương trình chữ ký RSA Từ kiến thức học với việc nghiên cứu tài liệu Internet, nhờ hướng dẫn, bảo tận tình Trần Phương Nhung, nhóm chúng em hồn thành đề tài Trong q trình hồn thành đề tài, chúng em cịn gặp nhiều khó khăn, hiểu biết chúng em hạn hẹp nên kết cịn nhiều thiếu sót Kính mong nhận xét đóng góp ý kiến để nhóm hồn thiện tập Sau đây, nhóm chúng em xin xem đánh giá báo cáo MỤC LỤC Chương Tổng quan 1.1 Tổng quan an toàn bảo mật thông tin 1.2 Sự cần thiết An toàn bảo mật thông tin .6 1.3 Mục đích An tồn bảo mật thơng tin 1.4 Chữ kí số Chương Kết nghiên cứu 11 2.1 Giới thiệu 11 2.2 Nội dung thuật toán .12 2.3 Thiết kế, cài đặt chương trình đề mơ thuật tốn 14 2.3.1 Giao diện chương trình đề mơ .14 2.3.2 Cài đặt triển khai .17 2.4 Thực toán 24 2.4.1 Phân công công việc 24 2.4.2 Kiến trúc tổng quan chữ kí số chữ kí số RSA (Phùng Văn Cơng) 25 2.4.3 Giải thuật RSA hàm băm mật mã MD5 (Nguyễn Hữu Đại) 31 2.4.4 Các điểm yếu chữ kí số RSA (Trương Ngọc Đăng) 38 2.4.5 Các dạng công (Nguyễn Thành Đạt) .42 2.4.6 Ứng dụng chữ kí số RSA (Nguyễn Văn Đạt) 43 Chương Phần kiến thức lĩnh hội học kinh nghiệm .47 3.1 Nội dung thực 47 3.2 Hướng phát triển 54 Chương Tổng quan Ngày hoạt động người thơng tin đóng vai trị quan trọng khơng thể thiếu Xã hội phát triển nhu cầu trao đổi thông tin thành phần xã hội ngày lớn Mạng máy tính đời mang lại cho người nhiều lợi ích việc trao đổi xử lý thơng tin cách nhanh chóng xác Chính từ thuận lợi đặt cho câu hỏi, liệu thông tin từ nơi gửi đến nơi nhận có đảm bảo tuyệt đối an tồn, đảm bảm thông tin ta không bị truy cập bất hợp pháp Thông tin lưu giữ, truyền dẫn, sử dụng mạng lưới thơng tin cơng cộng bị nghe trộm, chiếm đoạt, xuyên tạc phá huỷ dẫn đến tổn thất lường Đặc biệt số liệu hệ thống ngân hàng, hệ thống thương mại, quan quản lý phủ thuộc lĩnh vực quân lưu giữ truyền dẫn mạng Nếu nhân tố an tồn mà thơng tin khơng dám đưa lên mạng hiệu suất làm việc hiệu suất lợi dụng nguồn liệu bị ảnh hưởng Trước yêu cầu cần thiết đó, việc mã hố thơng tin đảm bảo an tồn cho thông tin nơi lưu trữ thông tin truyền mạng 1.1 Tổng quan an tồn bảo mật thơng tin An tồn thơng tin hoạt động bảo vệ tài sản thông tin lĩnh vực rộng lớn Nó bao gồm sản phẩm quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thơng tin,… Các phương thức công thông qua mạng ngày tinh vi, phức tạp dẫn đến mát thơng tin, chí làm sụp đổ hồn tồn hệ thống thơng tin tổ chức Vì an tồn thơng tin nhiệm vụ quan trọng, nặng nề khó đốn trước hệ thống thơng tin An tồn thơng tin liên quan đến hai khía cạnh an tồn mặt vật lý an toàn mặt kỹ thuật Mục tiêu an tồn thơng tin: + Đảm bảo tính bảo mật + Đảm bảo tính tồn vẹn + Đảm bảo tính xác thực + Đảm bảo tính sẵn sàng Phương thức, thủ đoạn đánh cấp liệu cá nhân: - Sử dụng mã độc, phần mềm có tính gián điệp hay công, xâm nhập hệ thống máy tính, làm gián đoạn, tổn hại tới tính bí mật, tính tồn vẹn sẵn sàng máy tính người sử dụng để chiếm đoạt thông tin liệu cá nhân Chẳng hạn, vụ tin tặc (hacker) rao bán khối lượng liệu khách hàng nhà mạng, điện lực, ngân hàng doanh nghiệp Việt Nam 01 diễn đàn cho hacker vấn đề đáng báo động tiềm ẩn nguy bị đối tượng xấu lợi dụng để lừa đảo chiếm đoạt tài sản khách hàng - Tấn công vào hệ thống lưu trữ liệu cá nhân, thông tin khách hàng để bán cho đối thủ họ, ăn cắp mật tài khoản nhằm mục đích biển thủ tiền 1.2 Sự cần thiết An toàn bảo mật thông tin Hệ thống thông tin thành phần thiết yếu quan, tổ chức đem lại khả xử lý thông tin, tài sản quan trọng hệ thống thông tin chứa nhiều điểm yếu rủi Do máy tính phát triển với tốc độ nhanh để đáp ứng nhiều yêu cầu người dùng, phiên phát hành liên tục với tính thêm vào ngày nhiều, điều làm cho phần mềm không kiểm tra kỹ trước phát hành bên chúng chứa nhiều lỗ hổng dễ dàng bị lợi dụng Thêm vào việc phát triển hệ thống mạng, phân tán hệ thống thông tin, làm cho người dùng truy cập thông tin dễ dàng tin tặc có nhiều mục tiêu cơng dễ dàng Việc bảo mật liệu cá nhân có ý nghĩa quan trọng liệu bị đánh cắp gây tổn thất tài nghiêm trọng, nguy bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm, xâm hại tình dục , gây hậu vật chất tinh thần, ảnh hưởng trực tiếp đến quyền lợi ích hợp pháp quan, tổ chức, doanh nghiệp cá nhân Vì vậy, trước hết cá nhân cần thực tốt bảo mật liệu để ngăn chặn hành vi trộm cắp liệu, đảm bảo tính tồn vẹn thơng tin cá nhân; bảo vệ quyền riêng tư tránh hệ lụy, rủi ro phát sinh bị lộ, lọt, đánh cắp liệu cá nhân 1.3 Mục đích An tồn bảo mật thơng tin + Bảo vệ tài nguyên hệ thống Các hệ thống máy tính lưu giữ nhiều thông tin tài nguyên cần bảo vệ Trong tổ chức, thông tin tài nguyên liệu kế tốn, thơng tin nguồn nhân lực, thơng tin quản lý, bán hàng, nghiên cứu, sáng chế, phân phối, thông tin tổ chức thông tin hệ thống nghiên cứu Đối với nhiều tổ chức, toàn liệu quan trọng họ thường lưu sở liệu quản lý sử dụng chương trình phần mềm Các cơng vào hệ thống xuất phát từ đối thủ tổ chức cá nhân đó, phương pháp để bảo đảm an toàn cho thơng tin phức tạp nhạy cảm Các cơng xuất phát từ nhiều nguồn khác nhau, từ bên bên tổ chức Hậu mà công thành công để lại nghiêm trọng + Bảo đảm tính riêng tư Các hệ thống máy tính lưu giữ nhiều thơng tin cá nhân cần giữ bí mật Những thông tin bao gồm: Số thẻ bảo hiểm xã hội, số thẻ ngân hàng, số thẻ tín dụng, thơng tin gia đình, Tính riêng tư yêu cầu quan trọng mà ngân hàng, cơng ty tín dụng, cơng ty đầu tư hãng khác cần phải đảm bảo để gửi tài liệu thông tin chi tiết cách họ sử dụng chia sẻ thông tin khách hàng Các hãng có quy định bắt buộc để bảo đảm thơng tin cá nhân bí mật bắt buộc phải thực quy định để bảo đảm tính riêng tư Hậu nghiêm trọng xảy kẻ giả mạo truy nhập thông tin cá nhân => Một ứng dụng an tồn thơng tin chữ ký số Với đặc điểm đơn giản cho người sử dụng mà đảm bảo tính bảo mật, kỹ thuật sử dụng chữ ký số kỹ thuật sử dụng phổ biến, đa dạng hầu hết lĩnh vực, Tài chính, Ngân hang, Kế tốn…Vì lý đó, nhóm chúng em nghiên cứu Chữ kí điện tử RSA vấn đề có liên quan đồng thời có viết chương trình nhằm mục đích demo vấn đề 1.4 Chữ kí số Chữ ký điện số thông tin kèm theo liệu (văn bản, âm thanh,hình ảnh, video ) nhằm mục đích xác định người chủ liệu Chữ ký điện số chuỗi thông tin cho phép xác định nguồn gốc, xuất xứ, thực thể tạo thơng điệp Chữ ký số khóa cơng khai mơ hình sử dụng kỹ thuật mật mã để gắn với người sử dụng cặp khóa cơng khai - bí mật, qua ký văn điện tử trao đổi thông tin mật Khóa cơng khai thường phân phối thơng qua chứng thực khóa cơng khai Chữ kí số (Digital Signature) chuỗi liệu liên kết với thông điệp (message) thực thể tạo thông điệp Giải thuật tạo chữ ký số (Digital Signature generation algorithm) phương pháp sinh chữ ký số Giải thuật kiểm tra chữ ký số (Digital Signature verification algorithm) phương pháp xác minh tính xác thực chữ ký số, có nghĩa thực tạo bên định Một hệ chữ ký số (Figital Signature Scheme) bao gồm giải thuật tạo chữ số giải thuật kiểm tra chữ kỹ số - Quá trình tạo chữ ký số (Digital Signature signing process) bao gồm: + Giải thuật tạo chữ ký số + Phương pháp chuyển liệu thông điệp thành dạng ký - Q trình kiểm tra chữ ký số (Digital signature verification process) : + Giải thuật kiểm tra chữ ký số + Phương pháp khôi phục liệu từ thông điệp Hàm băm (Hash Funtion) hàm tốn học chuyển đổi thơng điệp (message) có độ dài (hữu hạn) thành dãy bít có độ dài cố định (tùy thuộc vào thuật toán băm) Dãy bít gọi thơng điệp rút gọn (message disgest) hay giá trị băm (hash value), đại diện cho thơng điệp ban đầu Ví dụ : Ta mơ trực quan hệ mật mã khố công khai sau : Bob muốn gửi cho Alice thông tin mật mà Bob muốn Alice đọc Để làm điều này, Alice gửi cho Bob hộp có khóa mở sẵn (Khóa cơng khai) giữ lại chìa khóa Bob nhận hộp, cho vào tờ giấy viết thư bình thường khóa lại (như loại khố thơng thường cần sập chốt lại, sau sập chốt khóa Bob khơng thể mở lại đượckhông đọc lại hay sửa thông tin thư nữa) Sau Bob gửi hộp lại cho Alice Alice mở hộp với chìa khóa đọc thơng tin thư Trong ví dụ này, hộp với khóa mở đóng vai trị khóa cơng khai, chìa khóa khóa bí mật Q trình ký (Bên gửi) Tính tốn chuỗi đại diện (message digest/ hash value) thông điệp sử dụng giải thuật băm (Hashing algorithm) Chuỗi đại diện ký sử dụng khóa riêng (Priavte key) người gửi giải thuật tạo chữ ký (Signature/ Encryption algorithm) Kết chữ ký số (Digital signature) thơng điệp hay cịn gọi chuỗi đại diện mã hóa (Encryted message digest) Thông điệp ban đầu (message) ghép với chữ ký số (Digital signature) tạo thành thông điệp ký (Signed message) Thông điệp ký (Signed message) gửi cho người nhận Quá trình kiểm tra chữ kí (Bên nhận) Tách chữ ký số thơng điệp gốc khỏi thông điệp ký để xử lý riêng; Tính tốn chuỗi đại diện MD1 (message digest) thơng điệp gốc sử dụng giải thuật băm (là giải thuật sử dụng q trình ký) Sử dụng khóa cơng khai (Public key) người gửi để giải mã chữ ký số -> chuỗi đại diện thông điệp MD2 So sánh MD1 MD2: +Nếu MD1 = MD2 -> chữ ký kiểm tra thành cơng Thơng điệp đảm bảo tính toàn vẹn thực xuất phát từ người gửi (do khóa cơng khai chứng thực) 10