29 pages 11 An toàn mạng thông tin Bảo mật e-mail (E-mail Security) 29 pages 22 Nội dung • Giới thiệu về bảo mật e-mail • Hai tiêu chuẩn bảo mật cơ bản cho e- mail: – Pretty Good Privacy (PGP) – S/MIME 29 pages 33 Bảo mật e-mail • Email (thư điện tử) là một trong những dịch vụ mạng thông dụng nhất hiện nay. • Nội dung e-mail thường không được bảo mật: – Email có thể bị xem trộm bởi các hacker khi truyền trên mạng (do các giao thức e-mail truyền dữ liệu mà không mã hoá) – Email có thể bị xem bởi những người dùng có thẩm quyền trên hệ thống đích (VD: người quản trị hệ thống) – Dễ giả mạo thành một người khác để gửi e-mail – Tính toàn vẹn dữ liệu không được bảo đảm 29 pages 44 PGP (Pretty Good Privacy) • Được Phil Zimmermann đưa ra vào năm 1991 • Miễn phí, thông dụng, thân thiện với người dùng, có thể thực hiện trên những nền tảng hệ thống phần cứng và phần mềm khác nhau • Thiết kế trên cơ sở kết hợp mật mã khoá công khai và mật mã khoá đối xứng, sử dụng các thuật toán mật mã tốt nhất • Không phụ thuộc vào các tổ chức chính phủ và các tổ chức quản lý chuẩn • Trở thành một trong hai tiêu chuẩn mã hoá quan trọng (tiêu chuẩn còn lại là S/MIME) 29 pages 55 PGP • Ban đầu, PGP được thiết kế cho mục đích bảo mật bằng mật mã nội dung các bản tin e-mail và các file đính kèm (attachment) cho người dùng phổ thông • Sau đó, PGP trở thành tập hợp các ứng dụng mật mã, bao gồm: – Mật mã để bảo mật e-mail – Chữ ký số – Mật mã để bảo mật các file, thư mục lưu trữ trên các ổ đĩa cứng máy tính cá nhân, máy chủ mạng – Bảo mật các phiên trao đổi IM, mật mã truyền file. • Hiện nay, PGP đã trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ cũng như các cá nhân 29 pages 66 Các thành phần của PGP • PGP dựa trên cơ sở 5 dịch vụ: – Nhận thực (Authentication) – Bảo mật dữ liệu (Confidentiality) – Nén dữ liệu (Compression) – Tương thích với các hệ thống thư điện tử (E- mail compatibility) – Phân đoạn (Segmentation) • Trừ hai dịch vụ Nhận thực và Bảo mật dữ liệu, các dịch vụ còn lại đều trong suốt với người dùng. 29 pages 77 PGP - Nhận thực • 1. Người gửi tạo ra bản tin • 2. Dùng thuật toán hàm băm SHA1 để tạo tóm tắt bản tin (mã Hash) 160-bit • 3. Mã Hash được mã hoá bằng khoá riêng của người gửi (được "ký"), rồi chữ ký được gắn vào bản tin • 4. Người nhận giải mã chữ ký đó bằng khoá chung của người gửi để phục hồi mã Hash • 5. Người nhận tạo ra mã Hash của bản tin rồi so sánh với mã Hash đã được giải mã Nếu trùng nhau, thì bản tin được coi như đã được nhận thực 29 pages 88 PGP - Nhận thực 29 pages 99 PGP - Bảo mật dữ liệu • 1. Người gửi tạo ra bản tin và một số ngẫu nhiên sẽ dùng làm khoá phiên để mã hóa bản tin này (khoá phiên chỉ dùng một lần trong phiên truyền e-mail rồi loại bỏ) • 2. Bản tin được mã hoá đối xứng (AES, 3DES, IDEA hoặc CAST-128) dùng khoá phiên • 3. Khoá phiên được mã hoá khoá công khai (RSA) bằng khoá chung của người nhận, rồi sau đó được gắn vào bản tin trước khi truyền đi • 4. Người nhận giải mã khoá công khai (RSA) bằng khoá riêng của mình để phục hồi khoá phiên • 5. Khoá phiên được dùng để giải mã bản tin 29 pages 1010 PGP - Bảo mật dữ liệu [...]... giao thức bảo mật e-mail – Dựa trên cơ sở giao thức mở rộng e-mail Internet đa mục đích (MIME: Multipurpose Internet Mail Extension) nhưng tăng cường thêm tính bảo mật • MIME giải quyết được các vấn đề hạn chế của giao thức truyền e-mail đơn giản (SMTP: simple mail transfer protocol) - chuẩn hợp pháp của Internet • S/MIME là một giao thức trao đổi khoá chung (PKI) • S/MIME là giao thức bảo mật e-mail...PGP - Kết hợp Nhận thực và Bảo mật dữ liệu • Hai dịch vụ trên được kết hợp với nhau (tức là một bản tin có thể vừa được ký lại vừa được mã hoá) • Quá trình mã hoá và giải mã xem trên slide sau 29 pages 11 PGP - Kết hợp Nhận thực và Bảo mật dữ liệu 29 pages 12 PGP – Nén dữ liệu • PGP nén bản tin: – sau khi ký (dùng hash) • để không... PGP • An ninh của PGP chỉ có thể bị vô hiệu trong trường hợp sử dụng sai hoặc thông qua các dạng tấn công gián tiếp (VD: FBI đã từng cài đặt bí mật phần mềm ghi nhận bàn phím - keystroke logging - để thu thập mật khẩu PGP của người bị tình nghi) • Về khía cạnh mật mã học, an ninh của PGP phụ thuộc vào các giả định về thuật toán (RSA, IDEA) mà nó sử dụng trong điều kiện về thiết bị và kỹ thuật hiện nay... dụng thương mại, còn PGP - bảo mật e-mail trong các ứng dụng cá nhân 29 pages 24 MIME • SMTP không thể làm việc với: – Các file nhị phân (hình ảnh, âm thanh, các file thực hiện, các tài liệu Word, v.v ) – Các ký tự không phải là ASCII (VD: chữ nguyên bản Trung Quốc, Ả rập, Nga) – Các bản tin quá lớn (vượt quá một kích thước nào đó) • MIME cung cấp phương thức mã hoá truyền email đối với các bản tin... liệu • PGP nén bản tin: – sau khi ký (dùng hash) • để không phải nén dữ liệu mỗi khi cần xác nhận chữ ký của nó – trước khi mã hoá • để tăng tốc quá trình mã hoá (dữ liệu cần mã hoá sẽ ít hơn) • để bảo mật tốt hơn (các bản tin đã nén khó thám mã hơn nhiều so với các bản tin chưa nén vì chúng có phần dư ít hơn) 29 pages 13 PGP - Tương thích e-mail • PGP được thiết kế tương thích với tất cả các hệ thống... ánh xạ vào 4 ký tự ASCII (phù hợp với đa số các hệ thống e-mail) Mã hoá dữ liệu nhị phân thành khuôn dạng radix-64 29 pages 15 PGP- Mã hoá RADIX-64 29 pages 16 PGP - Phân đoạn/ghép lại • Các giao thức Email thường hạn chế với các bản tin có kích thước không quá một giá trị cực đại nào đó (ví dụ: 50KB) • Do vậy, PGP tự động chia những bản tin lớn thành những phân đoạn nhỏ hơn • Các phân đoạn đó được... liệu MIME – Mã hoá bản tin gốc (bản tin chưa sử dụng MIME) và ký vào mã Hash của bản tin đó • Ký dữ liệu rồi đưa vào phong bì số – Lồng các thực thể đã mã hoá và đã ký với nhau 29 pages 26 Các thuật toán mật mã của S/MIME • Tạo MD bằng các hàm Hash: SHA-1, MD5 • Tạo chữ ký số: RSA, DSS • Mã hoá đối xứng đối với khoá phiên: RSA, ElGamal (một biến thể của thuật toán DiffieHellmann) • Mã hoá bản tin: AES, . tin Bảo mật e-mail (E-mail Security) 29 pages 22 Nội dung • Giới thiệu về bảo mật e-mail • Hai tiêu chuẩn bảo mật cơ bản cho e- mail: – Pretty Good Privacy (PGP) – S/MIME 29 pages 33 Bảo mật e-mail • Email. khoảng 33% 29 pages 151 5 PGP - Tương thích E-mail • Sơ đồ biến đổi radix-64: mỗi nhóm 3 octet dữ liệu nhị phân được ánh xạ vào 4 ký tự ASCII (phù hợp với đa số các hệ thống e-mail) Mã hoá dữ liệu. phần dư ít hơn) 29 pages 1414 PGP - Tương thích e-mail • PGP được thiết kế tương thích với tất cả các hệ thống e-mail • PGP được thiết kế với các e-mail đơn giản nhất, với giả thiết không có