1 Hệ phân phối khóa Blom 3 Giao thức phân phối khóa Blom là nơi quản trị khóa. Việc thỏa thuận khóa nói chung không cần có sự tham gia của 1 TA nào và chỉ có thể xảy ra khi các hệ bảo mật mà ta sử dụng là hệ có khóa công khai…. 2 Hệ phân phối khóa Kerberos 6 Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin tưởng. 3 – Hệ phân phối khóa Diffle – Hellman 10 Thiết lập một khóa chia sẻ bí mật được sử dụng cho thông tin liên lạc bí mật bằng cách trao đổi dữ liệu thông qua mạng công cộng. Không cần có sự can thiệp của một TA – cơ quan ủy thác, làm nhiệm vụ điều hành hoặc phân phối khóa. Cho phép những người sử dụng có thể cùng nhau tạo ra một khóa bí mật thông qua một kênh truyền không đảm bảo về độ bảo mật. Khóa bí mật này dung để trao đổi thông tin với nhau.
Trang 1Nhóm 6
CHƯƠNG 4 MỘT SỐ HỆ PHÂN PHỐI KHÓA ( BLOM, KERBEROS, DIFFLE –HELLMAN)
Trang 2Các hệ phân phối khóa
1 – Hệ phân phối khóa Blom
2 – Hệ phân phối khóa Kerberos
3 – Hệ phân phối khóa Diffie - Hellman
Trang 31 – Hệ phân phối khóa Blom
1.1 – Giới thiệu:
Giao thức phân phối khóa Blom là nơi quản trị khóa.
Việc thỏa thuận khóa nói chung không cần có sự tham gia của 1 TA nào và chỉ có thể xảy ra khi các hệ bảo mật mà ta sử dụng là hệ có khóa công khai….
Trang 41 – Hệ phân phối khóa Blom
*Điều kiện an toàn: tập bất kì gồm nhiều nhất k người sử dụng không liên kết từ
U, V phải không có khả năng xác định bất kì thông tin nào về Ku,v.
Trang 51 – Hệ phân phối khóa Blom
1.3 – Giao thức phân phối khóa Blom với k = 1
P được công khai, với người sử dụng U, phần tử ru Z ∈ Z p là công khai, khác nhau
TT chọn 3 phần tử ngẫu nhiên bí mật a, b, c Z ∈ Z p (không cần khác biệt) và thiết lập đa thức:
f(x, y) = (a + b*(x + y) + c*x*y) mod p
Với người sử dụng U, TT tính đa thức: gu(x) = f(x, ru) mod p
Nếu U và V muốn liên lạc với nhau, họ sẽ dùng khoá chung:
Ku,v = Ku,v = f(ru, rv) = (a + b*(ru+ rb) + c.ru.rv ) mod p
U tính Ku,v = f(ru, rv) = gu(rv) =(a+b.(rv+ ru) + c.rv ru ) mod p
V tính Ku,v = f(ru,rv) = gv(ru) =(a+b.(ru+ rv) + c.ru.rv) mod p
Do tính chất đối xứng của đa thức f(x,y), nên Ku,v= Kv,u
Trang 61 – Hệ phân phối khóa Blom
Ví dụ:
• Giả sử có 3 người sử dụng là U,V và W Chọn số nguyên tố p =17,
• Các phần tử công khai của họ là ru = 12, rv = 7, rw = 1
• TT chọn ngẫu nhiên, bí mật a = 8, b = 7, c = 2 Khi đó đa thức f như sau: f(x, y) = (8 + 7*(x + y) + 2*x*y) mod 17.
• TT tính các đa thức và gửi cho U, V, W tương ứng là:
Trang 7Ví dụ:
• Khi U và V muốn liên lạc với nhau, người dùng tự tính khoá chung:
U tính K u,v = g u (r v ) = f(r u ,rv) =(a+b.(r v + r u ) + c.r v r u ) mod p =7 + 14*7 mod 17 = 3
V tính Ku,v = gv(ru) = f(ru,rv) =(a+b.(ru+ rv) + c.ru.rv) mod p = 6 + 4*12 mod 17 =3
* 3 khoá tương ứng với 3 cặp người dùng là:
Trang 81.4 – Giao thức phân phối khóa Blom với k > 1
• Sơ đồ
Để tạo lập sơ đồ phân phối khoá chống lại được liên minh k đối thủ, TT sẽ dùng đa thúc f(x,y) dạng sau:
x i y j mod p
Trong đó: ai,j Z ∈ Z p (0 ≤ i ≤ k, 0 ≤ j ≤ k) và ai,j = aj,i với mọi i, j
Các phần còn lại của giao thức như sơ đồ phân phối khoá Blom với k=1.
Trang 9
2 – Hệ phân phối khóa Kerberos
Trang 102 – Hệ phân phối khóa Kerberos
2.2 – Nguyên tắc Hoạt động
Kerberos được thiết kế dựa trên giao thức Needham-Schroeder
Kerberos sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi
là "trung tâm phân phối khóa" (key distribution center - KDC)
KDC bao gồm hai chức năng:
● Máy chủ xác thực
● Máy chủ cung cấp vé
Trang 112 – Hệ phân phối Kerberos
Trang 122 – Hệ phân phối Kerberos
- OpenSSH (với Kerberos v5 hoặc cao hơn)
- NFS (kể từ NFSv3)
- PAM (với mô đun pam_krb5)
- SOCKS (kể từ SOCKS5)
- Apache (với mô đun mod_auth_kerb )
- Dovecot IMAP4 và POP3
- Một cách gián tiếp, tất cả phần mềm sử dụng SASL để nhận thực, chẳng hạn như
Trang 132.4 – Mô tả giao thức
• Theo hệ thống ký hiệu giao thức mật mã, Kerberos được mô tả như sau (trong đó Alice (A) sử dụng máy chủ (S) để nhận thực với Bob (B)):
Trang 142 – Hệ phân phối Kerberos
• Giải thích:
KAB: khóa phiên giữa A và B
{TS, L, KAB, A}KBS: vé gửi từ máy khách tới máy chủ {A, TA}KAB: phần để nhận thực A với B
{TA + 1}KAB: Nhận dạng lại B để chấp nhận A
Trang 152 – Hệ phân phối Kerberos
1 Login 2 tạo khóa bí mật
3 gửi yêu cầu dịch vụ tới AS
4 AS xác thực user
5 Client lấy khóa phiên từ AS
6 User gửi 2 gói tin tới TGS
10 Client xác nhận và gửi y/
c dịch vụ
11 Máy chủ cung cấp dịch vụ
2.5 – Hoạt động
Trang 162 – Hệ phân phối Kerberos
2.6 – Nhược điểm
Ngừng hoạt động theo máy chủ
Đồng bộ hóa đồng hồ
đổi mật khẩu không tiêu chuẩn hóa
Trang 173 – Hệ phân phối khóa Diffie-Hellman
Tổng quan
- Thiết lập một khóa chia sẻ bí mật được sử dụng cho thông tin liên lạc
bí mật bằng cách trao đổi dữ liệu thông qua mạng công cộng
- Không cần có sự can thiệp của một TA – cơ quan ủy thác, làm nhiệm
vụ điều hành hoặc phân phối khóa
- Cho phép những người sử dụng có thể cùng nhau tạo ra một khóa bí mật thông qua một kênh truyền không đảm bảo về độ bảo mật Khóa
bí mật này dung để trao đổi thông tin với nhau
Trang 183 – Hệ phân phối khóa Diffie-Hellman
Tình huống
- Alice và Bob muốn chia sẻ thông tin bảo mật cho nhau nhưng phương tiện truyền thông duy nhất của họ là không an toàn Tất cả các thông tin mà họ trao đổi được quan sát bởi Even – kẻ thù của họ
- Làm thế nào để Alice và Bob chia sẻ thông tin bảo mật cho nhau mà không làm cho Even biết được?
Trang 193 – Hệ phân phối khóa Diffie-Hellman
• Alice và Bob đồng ý dùng chung về một nhóm cyclic
hữu hạn G và một yếu tố tạ ra g trong G.
• Khi Alice và Bob muốn truyền thông tin bảo mật cho
nhau có thể cùng thực hiện theo giao thức sau để trao
đổi
1.Alice chọn ngẫu nhiên số aA (0) bí mật, tính bA và gửi
cho Bob
2 Tương tự, Bob chọn số ngẫu nhiên a B (0 ) bí mật, tính
bB và gửi cho Alice
3 Alice tính được khóa
4 Bob tính được khóa
• Bây giờ, Alice và Bob có cùng khóa chung là:
•
Trang 203 – Hệ phân phối khóa Diffie-Hellman
Ví dụ minh họa
1 Alice và Bob đã thống nhất với nhau chọn số nguyên tố p=37 và g=5
2 Alice chọn một giá trị ngẫu nhiên bất kỳ a A =7 và bí mật a A
Alice tính b A =5 7 mod 37 =18 Sau đó Alice gửi b A =18 cho Bob
Bob tính b B =5 5 mod 37 =17 Sau đó Bob gửi b B =17 cho Alice
k B =18 4 mod 37=15
k A =17 7 mod 37 = 15
Trang 213 – Hệ phân phối khóa Diffie-Hellman
Tính chất
1 Giao thức là an toàn đối với việc tấn công thụ động, nghĩa là một
người thứ ba, dù biết bA và bB sẽ khó mà biết được KA,B
2 Giao thức là không an toàn đối với việc tấn công chủ động bằng cách
đánh tráo giữa đường, nghĩa là một người thứ ba C có thể đánh tráo các
thông tin trao đổi giữa A và B Chẳng hạn, C thay mà A định gửi cho B bởi ,và thay mà B định gửi cho A bởi
•
Trang 223 – Hệ phân phối khóa Diffie-Hellman
Giao thức trao đổi khóa D-H có chứng chỉ xác thực
• Chứng chỉ mà TA cấp cho mỗi người dùng A sẽ là:
C(A) = (ID(A), ver A , sig TA (ID(A), ver A )).
Việc trao đổi khoá giữa hai người dùng A và B được thực hiện theo giao thức sau đây:
1 A chọn ngẫu nhiên số aA (0 aA p-2), tính bA=αaA modp và gửi bA cho B.
2 B chọn ngẫu nhiên số aB (0 aB p-2), giữ bí mật aB, tính bB=αaB mod p, tính tiếp
Trang 23Thank
for
listening!
Nhóm 6 chúc thầy cùng các bạn có một ngày học tập và
làm việc hiệu quả.