Báo cáo bài tập lớn trí tuệ nhân tạo Đề tài bảo mật thông tin

 XSS Cross Site Scripting: Đây là một cuộc tấn công trong đó trang web mục tiêu dễ bị tấncông được sử dụng làm bàn đạp; một tập lệnh độc hại được gửi đến người dùng đang truycập trang w

TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO BÀI TẬP LỚNTRÍ TUỆ NHÂN TẠO

PHIẾU CHẤM ĐIỂM

Nguyễn Tuấn Minh Minh

MỤC LỤC

MỤC LỤC 2

DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT 4

LỜI MỞ ĐẦU 6

CHƯƠNG I: Tổng quan về An ninh thông tin 7

1 Khái niệm về bảo mật thông tin 7

1.1 Tài sản 8

1.2 Mối đe dọa 8

1.3 Lỗ hổng bảo mật 14

2 Công nghệ bảo mật thông tin 14

2.1 Mật mã 15

2.2 Kỹ thuật xác thực 18

2.3 PKI (Cơ sở hạ tầng khóa công khai) 23

3 Quản lý bảo mật thông tin 24

3.1.Quản lý bảo mật thông tin 24

3.2 Quản lý rủi ro 26

4 Cơ quan an ninh thông tin và tiêu chí đánh giá 28

4.1.Cơ quan an ninh thông tin 29

4.2.Tiêu chí đánh giá an ninh thông tin 29

CHƯƠNG II: Biện pháp bảo mật thông tin 31

1 Biện pháp bảo mật con người 31

2 Biện pháp bảo mật kỹ thuật 32

3 Biện pháp bảo mật vật lí 35

4.Công nghệ triển khai bảo mật 37

4.1 Giao thức bảo mật 37

4.2 Bảo mật mạng 38

4.3 Bảo mật cơ sở dữ liệu 40

4.4 Bảo mật ứng dụng 41

4.5 Hệ điều hành an toàn 41

TÀI LIỆU THAM KHẢO 43

DANH MỤC CÁC KÝ HIỆU, TỪ VIẾT TẮT

vùng

quyền trái phép

Security Evaluation and Certification Scheme

Chương trình đánh giá và chứng nhận an ninh công nghệ thông tin Nhật Bản

Validation Program

Chương trình xác thực mô-đun mật

mã Nhật Bản

PCIDSS Payment Card Industry Data

Giám đốc bảo mật thông tin

giản hóa

email thông qua chữ ký số của miền gửi thư

nhất

cá nhân

lý, điều chỉnh Server từ xa

việc mã hóa email

Translation

Biên dịch địa chỉ mạng và cổng

LỜI MỞ ĐẦU

Trong thời đại công nghệ thông tin phát triển nhanh chóng như hiện nay, an ninh thông tin đã trởthành một yếu tố then chốt đối với sự tồn tại và phát triển của mọi tổ chức, doanh nghiệp Thôngtin không chỉ là tài sản quý giá mà còn là mục tiêu của nhiều mối đe dọa từ cả bên trong và bênngoài Các sự cố an ninh thông tin có thể gây ra những hậu quả nghiêm trọng, không chỉ về tàichính mà còn ảnh hưởng đến uy tín, danh tiếng của tổ chức

Với sự phức tạp và tính chất đa dạng của các mối đe dọa hiện nay, việc xây dựng một hệ thống anninh thông tin toàn diện, bao gồm cả biện pháp kỹ thuật và quản lý, là vô cùng cần thiết Báo cáonày nhằm mục tiêu cung cấp cái nhìn tổng quan về an ninh thông tin, từ các khái niệm cơ bản, cácnguy cơ và mối đe dọa, cho đến các biện pháp bảo mật và hệ thống quản lý an ninh thông tin hiệnđại Qua đó, chúng ta sẽ thấy được tầm quan trọng của việc bảo vệ thông tin trong mọi lĩnh vực và

đề xuất những phương án bảo mật hiệu quả cho tổ chức

CHƯƠNG I: Tổng quan về An ninh thông tin

Hệ thống thông tin và Internet đang trở thành một phần của cơ sở hạ tầng của xã hội hiện đại Khi

sự phụ thuộc vào công nghệ thông tin tăng lên, tầm quan trọng của bảo mật thông tin cũng tăngtheo Vì các biện pháp được triển khai trong bảo mật thông tin được chia thành các biện pháp côngnghệ và các biện pháp quản lý, phần này thảo luận về bảo mật thông tin nói chung theo cả khíacạnh công nghệ và quản lý

1 Khái niệm về bảo mật thông tin

ISO/IEC 27000:2014 (JIS Q 27000:2014) mô tả bảo mật thông tin là “bảo vệ tính bảo mật, toànvẹn và tính khả dụng của thông tin; ngoài ra, các thuộc tính khác như tính xác thực, tính tráchnhiệm, tính không thể chối cãi và độ tin cậy cũng có thể được kể đến”

Trong an ninh thông tin, ba đối tượng sau đây cần được quản lý và bốn chức năng quản lý cầnđược chú trọng để duy trì tính bảo mật, toàn vẹn và khả dụng của thông tin:

 Các đối tượng cần quản lý trong an ninh thông tin:

hệ thống hoặc tổ chức

Lỗ hổng bảo mật Điểm yếu của một tài sản hoặc nhóm tài sản có thể bị khai thác bởi một

hoặc nhiều mối đe dọa

 Chức năng quản lý an ninh thông tin:

Để hiểu được khái niệm bảo mật thông tin, các đối tượng được bảo mật thông tin quản lý sẽ được trình bày chi tiết như sau:

1.1 Tài sản

Tài sản được định nghĩa là bất cứ thứ gì có giá trị được tổ chức bảo vệ Trong số này, tài sản liên quan đến thông tin quan trọng nói riêng được gọi là tài sản thông tin

 Các loại tài sản thông tin:

 Tài sản thông tin hữu hình: Đây là những tài sản thông tin có hình thức hữu hình, bao gồm tài sản phần cứng như máy tính và thiết bị truyền thông, và tài sản phần mềm nhưphần mềm kinh doanh, phần mềm hệ thống và tài liệu

 Tài sản thông tin vô hình: Đây là những tài sản thông tin không có hình dạng hữu hình, bao gồm một số loại thông tin như thông tin khách hàng, thông tin bán hàng, thông tin liên quan đến sở hữu trí tuệ, thông tin nhân sự và các loại thông tin khác nhưdanh tiếng và hình ảnh của một tổ chức

1.2 Mối đe dọa

Mối đe dọa (hoặc nguy cơ) là những thứ có thể gây mất mát cho tài sản thông tin Ví dụ về các mối đe dọa liên quan đến Internet và các mạng khác bao gồm:

 Khai thác: Việc chặn dữ liệu của bên thứ ba với mục đích xấu

 Làm giả: Gian lận trong việc viết lại thông tin trong e-mail hoặc các trang web

Chức năng phòng ngừa Chức năng ngăn chặn sự xuất hiện của các mối đe dọa

Chức năng phát hiện Chức năng phát hiện và xác định các mối đe dọa đã xảy ra

 Giả mạo: Thực hiện các hành vi gian lận bằng cách mạo danh người khác (ví dụ: người dùng được ủy quyền)

 Hành vi trộm cắp: Đánh cắp các tập tin hoặc dữ liệu của bên thứ ba với mục đích xấu

 Tiêu hủy: Tiêu hủy hoặc xóa các tập tin hoặc dữ liệu một cách gian lận

Các mối đe dọa được phân loại thành ba loại như sau:

a) Mối đe dọa cá nhân : Đây là loại mối đe dọa do hành vi của con người gây ra (có hoặc

không có ý định xấu) Dưới đây là các ví dụ điển hình về đe dọa cá nhân:

 Rò rỉ thông tin: Đây là sự rò rỉ thông tin cho bên thứ ba Nó bao gồm sự rò rỉ cố ý với mục đích nhận được thanh toán cho việc cung cấp thông tin và sự rò rỉ vô ý thông tin quan trọng mà bên thứ ba vô tình nghe được Ngoài ra, thông tin trong thiết bị bị loại bỏ

có thể được khôi phục và rò rỉ nếu không bị xóa về mặt vật lý

 Tổn thất / Trộm cắp / Thiệt hại các thiết bị lưu trữ: Điều này có nghĩa là các thiết bị công nghệ thông tin, chẳng hạn như máy tính và bộ nhớ USB, nơi lưu trữ thông tin bị bỏ lại, bịđánh cắp hoặc bị phá hủy trong quá trình sử dụng

 Lỗi / Hoạt động không chính xác: Đây là lỗi xóa dữ liệu hoặc lỗi khác do thao tác sai gây

ra Bao gồm rò rỉ thông tin quan trọng do nhập nhầm địa chỉ email của người nhận

 Tấn công phi kỹ thuật: Đây là hành vi đánh cắp thông tin thông qua những phương tiện thông thường hàng ngày

o Theo dõi rác thải hàng ngày: Đây là hành vi đánh cắp thông tin quan trọng từ các bản ghi nhớ bị vứt vào thùng rác, dữ liệu còn lại trong bộ nhớ hoặc bộ nhớ đệm, v.v Nó cũng được sử dụng như một phương pháp để thu thập thông tin trước về mục tiêu của các cuộc tấn công

o Giả mạo: Đây là hành vi mạo danh một người do bên thứ ba thực hiện Kẻ giả mạo

có thể giả vờ là khách hàng hoặc giám sát viên để yêu cầu mã PIN hoặc mật khẩu

o Nhìn trộm: Đây là hành động lén nhìn vào thao tác bàn phím của một người đang nhập mật khẩu hoặc thông tin được phân loại hiển thị trên màn hình của người

o Các cuộc tấn công có chủ đích: Đây là hành động tấn công một tổ chức hoặc cá nhân cụ thể làm mục tiêu Vì con người chọn mục tiêu tấn công nên hành động nàyđược phân loại là mối đe dọa cá nhân Tuy nhiên, bản thân phương pháp tấn công chủ yếu được phân loại là mối đe dọa công nghệ

b) Mối đe dọa công nghệ : Đây là loại mối đe dọa trong đó bên thứ ba có ý định xấu sử dụng

công nghệ máy tính để thực hiện các cuộc tấn công Các phương pháp tấn công điển hình sửdụng công nghệ máy tính, được phân loại là mối đe dọa công nghệ, bao gồm:

 Tấn công DoS (Từ chối dịch vụ): Đây là một cuộc tấn công liên tục gửi một lượng lớn dữliệu đến máy chủ mục tiêu để tạo ra tải quá mức cho CPU và bộ nhớ của máy chủ, do đó cảntrở dịch vụ Ngoài ra, còn có một cuộc tấn công DDoS (Distributed DoS) trong đó cácchương trình độc hại được sử dụng cho các cuộc tấn công có mục tiêu được sử dụng để tấncông một mục tiêu duy nhất cùng một lúc từ nhiều PC

 Keylogger (trình theo dõi thao tác bàn phím): Đây là một cuộc tấn công sử dụng cơ chế ghilại dữ liệu nhập bằng bàn phím và gian lận để lấy được thông tin (ví dụ: mật khẩu) do ngườikhác nhập vào

 Clickjacking: Đây là một cuộc tấn công thiết lập một trang web với một số loại chức năngkhiến người dùng nhấp chuột để thực hiện các hoạt động không phải do người dùng mongmuốn

 Phishing (Tấn công giả mạo): Đây là một cuộc tấn công dẫn người dùng đến một trang webgiả mạo thông qua các phương tiện như email giả mạo được gửi từ một công ty thật (ví dụ:

tổ chức tài chính) và lừa đảo người dùng về số thẻ tín dụng, số tài khoản ngân hàng, mã PIN

và các thông tin cá nhân khác

 Nhiễm độc DNS Cache: Đây là một cuộc tấn công gian lận ghi đè thông tin bộ nhớ đệm.Đặc biệt, đầu độc bộ nhớ đệm DNS, ghi đè bộ nhớ đệm DNS, được sử dụng để dẫn ngườidùng đến các trang web giả mạo để lừa đảo

 IP spoofing (Giả mạo IP): Đây là một cuộc tấn công gửi các gói tin đến một bên khác với địachỉ IP nguồn được ngụy trang Điều này được sử dụng trong các hành động bao gồm dẫnngười dùng đến các trang web giả mạo để lừa đảo

 XSS (Cross Site Scripting): Đây là một cuộc tấn công trong đó trang web mục tiêu dễ bị tấncông được sử dụng làm bàn đạp; một tập lệnh độc hại được gửi đến người dùng đang truycập trang web mục tiêu và sau đó được thực thi trên trình duyệt của người dùng để đánh cắpthông tin

 CSRF (Cross Site Request Forgery): Đây là một cuộc tấn công mà khi người dùng đăngnhập vào một trang web và sau đó truy cập vào một trang web khác có cài đặt bẫy, sẽ khiếnmột yêu cầu độc hại được gửi đến và thực hiện bởi trang web đã đăng nhập dưới dạng yêucầu từ người dùng (tức là dưới dạng giả mạo)

 Session hijacking (Chiếm đoạt phiên): Đây là một cuộc tấn công chiếm quyền điều khiểnmột phiên (tức là một loạt các giao tiếp giữa các bên được chỉ định) trong quá trình giao tiếpgiữa những người dùng được ủy quyền chính xác

 Directory traversal: Đây là một cuộc tấn công truy cập vào các thư mục (hoặc tệp) thôngthường không được tiết lộ bằng cách thêm “ / ” vào tên tệp, để duyệt qua các thư mục

 Drive-by download (Tải xuống tự động): Đây là một cuộc tấn công khiến người dùng tảixuống chương trình độc hại mà không được phép trong khi duyệt trang web

 SQL injection (Can thiệp SQL): Đây là một cuộc tấn công sửa đổi cơ sở dữ liệu một cách saitrái hoặc gian lận để lấy thông tin bằng cách cung cấp một phần câu lệnh SQL làm tham sốcho một chương trình (chương trình CGI) trên trang web được liên kết đến cơ sở dữ liệu

 Side channel attack (cuộc tấn công kênh bên): Đây là một cuộc tấn công thu thập thông tin

bí mật bằng cách đo lường và phân tích một số thông tin bổ sung (tức là thông tin kênh phụ),chẳng hạn như mức tiêu thụ điện năng hoặc sóng điện từ bức xạ của chip IC đang hoạt động

 Zero-day attack: Đây là cuộc tấn công lợi dụng lỗ hổng trong phần mềm trước khi nhà cungcấp phần mềm phát hành bản sửa lỗi

 Bẻ khóa mật khẩu: Đây là một cuộc tấn công gian lận giải mã hoặc lấy được mật khẩu củamột người dùng thực sự

 Third-party relay: Đây là một cuộc tấn công lợi dụng máy chủ có thể sử dụng miễn phí (vídụ: máy chủ thư) làm “bàn đạp” để truyền email và dữ liệu khác

 Gumball: Đây là một cuộc tấn công làm giả trang web của một công ty nổi tiếng hoặc tổchức công cộng và lây nhiễm vi-rút máy tính vào máy tính của người dùng đang duyệt trangweb giả mạo đó

 Lỗi tràn bộ nhớ đệm: Đây là một cuộc tấn công liên tục gửi các chuỗi ký tự dài hoặc dữ liệukhác để làm tràn bộ nhớ (tức là bộ đệm) được bảo vệ bởi một chương trình, nhằm mục đíchchiếm quyền truy cập vào chương trình và gây ra sự cố

Các chương trình gian lận (tức là phần mềm độc hại) được tạo ra với mục đích xấu cũng được phânloại là mối đe dọa công nghệ Sau đây là những ví dụ điển hình về phần mềm độc hại:

 Virus máy tính:

Trong “Tiêu chuẩn về các biện pháp chống lại vi-rút máy tính” của Bộ Kinh tế, Thươngmại và Công nghiệp Nhật Bản, vi-rút máy tính được định nghĩa là “một chương trìnhđược tạo ra nhằm cố ý gây ra một số dạng thiệt hại cho các chương trình hoặc cơ sở dữliệu của bên thứ ba và có một hoặc nhiều chức năng”

- Virus khu vực khởi động: Loại vi-rút này lây nhiễm vào khu vực khởi động (tức làkhu vực hệ thống chứa chương trình khởi động) được đọc trước khi hệ điều hànhkhởi động

- Virus tập tin chương trình: Virus này lây nhiễm các tập tin chương trình thực thinhư các ứng dụng

- Virus thông dịch: Loại vi-rút này lây nhiễm vào các tệp không thực thi được,chẳng hạn như tệp dữ liệu, ngoài các tệp chương trình Nó bao gồm hai loại vi-rút: vi-rút macro lây nhiễm thông qua các chức năng macro của phần mềm ứng dụng

và vi-rút script lây nhiễm thông qua ngôn ngữ script như JavaScript hoặcVBScript

 Worm (Sâu máy tính): Sâu máy tính phát triển bằng cách tự nhân bản trên các máy tínhkhác thông qua mạng, mà không cần chương trình nào bị nhiễm Nó thường tự động pháttán một bản sao của chính nó dưới dạng tệp đính kèm email hoặc sử dụng mạng để tiếptục phát tán nhiễm trùng

 BOT: Đây là một chương trình được tạo ra với mục đích kiểm soát các máy tính bịnhiễm từ bên ngoài thông qua các mạng (ví dụ: Internet)

 Phần mềm gián điệp: Đây là một chương trình lấy thông tin của người dùng một cách bấthợp pháp, chẳng hạn như thông tin cá nhân và lịch sử truy cập, và tự động gửi thông tin

đó cho một bên khác ngoài người dùng

 Trojan horse: Đây là một chương trình độc hại giả vờ là phần mềm hữu ích nhưng gây rathiệt hại cho người dùng Trong khi Trojan horse không lây nhiễm vào các tập tin hoặc

tự lan truyền, thì virus ẩn được đưa vào máy tính để truyền các tập tin riêng tư trên máytính qua Internet, phá hủy nội dung của các tập tin hoặc đĩa hoặc gây ra thiệt hại theocách khác

Các loại tội phạm máy tính sau đây cũng được coi là các loại mối đe dọa công nghệ:

- Kỹ thuật Salami (Cắt lát Salami): Đây là phương pháp đánh cắp tài sản từng chút một đểchúng trở nên nhỏ không đáng kể khi xem xét tổng thể Một ví dụ là kỹ thuật thu tiền từ mộttài khoản ngân hàng vào một tài khoản khác, theo từng phần nhỏ hơn một yên

- One-click fraud: Đây là một loại hành vi gian lận; ví dụ, nhấp vào hình ảnh hoặc liên kếttrên các trang web mai mối hoặc dành cho người lớn sẽ bị tính phí không công bằng

- Phishing fraud: Đây là tên gọi chung cho hành vi lừa đảo hoặc các hành vi gian lận đượcthực hiện bằng cách sử dụng thông tin thu thập được một cách bất hợp pháp thông qua lừađảo

c) Mối đe dọa vật lí : Đây là loại mối đe dọa đối với chính thiết bị hoặc các tòa nhà nơi đặt thiết

bị Sau đây là những ví dụ điển hình về các mối đe dọa về vật lí:

 Thảm họa: Điều này có nghĩa là thiết bị hoặc tòa nhà không sử dụng được hoặc thiết bị bịmất do thiên tai (ví dụ như động đất, lũ lụt) hoặc thảm họa do con người gây ra (ví dụ nhưhỏa hoạn)

 Sự phá hủy: Điều này có nghĩa là thiết bị hoặc tòa nhà không sử dụng được do hành vi pháhoại hoặc phá hoại của bên thứ ba có ý định xấu

 Tai nạn / hỏng hóc: Điều này có nghĩa là thiết bị hoặc tòa nhà không sử dụng được do tai nạnhoặc hỏng hóc không lường trước được

 Xâm nhập trái phép: Điều này có nghĩa là những người không được phép xâm nhập vào cáctòa nhà hoặc phòng có thiết bị

1.3 Lỗ hổng bảo mật

Lỗ hổng bảo mật là điểm yếu hoặc khuyết điểm bị khai thác bởi các mối đe dọa, trở thành nguyênnhân gây ra các mối đe dọa lớn hơn Nhiều lỗ hổng trong thiết bị, công nghệ, quản lý và nhiều lĩnhvực khác gây ra vấn đề

 Lỗ hổng bảo mật: Đây là lỗ hổng của phần mềm hoặc hệ thống do lỗi thiết kế phần mềm,lỗi, v.v

 Lỗ hổng do con người tạo ra Đây là lỗ hổng phát sinh từ hành vi của con người, do thiếu

sự thực thi hoặc xây dựng bộ quy tắc ứng xử cho các công ty, tổ chức và cá nhân

2 Công nghệ bảo mật thông tin

Công nghệ bảo mật thông tin là công nghệ máy tính được sử dụng trong các biện pháp công nghệđược triển khai như biện pháp bảo mật thông tin

2.1.

Mật mã

Mật mã học là công nghệ mã hóa được triển khai như các biện pháp chống rò rỉ thông tin hoặccác biện pháp chống khai thác thông tin liên lạc Thuật ngữ liên quan đến mật mã học đượcđịnh nghĩa như sau:

Thuật ngữ Định Nghĩa

Khóa mã hóa / khóa giải mã Dữ liệu đặc biệt được sử dụng trong mã hóa/giải mã

mã Độ dài khóa càng dài thì việc giải mã càng khó khăn

phương tiện không phù hợp

a) Mật mã khóa phổ biến: Mật mã khóa chung (còn được gọi là mật mã khóa đối xứng hoặcmật mã khóa bí mật) là phương pháp thực hiện mã hóa/giải mã giữa các bên trao đổi dữ liệu,

sử dụng một khóa chung Phương pháp mã hóa này thực hiện cả mã hóa và giải mã bằngcùng một khóa, do đó, các bên phải có khóa chung được giữ bí mật với bên thứ ba trước.Quy trình mã hóa khóa chung:

(1) Người gửi A mã hóa văn bản thuần túy bằng cách sử dụng một khóa chung

(2) Người gửi A gửi văn bản mã hóa (tức là văn bản thuần túy được mã hóa) cho Người nhận B.

(3) Người nhận B giải mã văn bản mã hóa bằng cách sử dụng khóa chung.

Các phương pháp điển hình của mật mã khóa chung bao gồm AES (Tiêu chuẩn mã hóa nâng cao)

từ NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia) áp dụng phương pháp Rijndael, TripleDES lặp

lại DES ba lần và IDEA (Thuật toán mã hóa dữ liệu quốc tế) lặp lại nhiều vòng của phép XOR (ORloại trừ), phép cộng và phép nhân.

b) Mật mã khóa công khai : là phương pháp sử dụng một cặp khóa riêng và khóa công khai.Khóa riêng được chủ sở hữu giấu đi, trong khi khóa công khai được tiết lộ hoặc phân phối

và bất kỳ ai cũng có thể sử dụng Mật mã này có thể mã hóa văn bản thuần túy bằng mộtkhóa và có thể giải mã văn bản mã hóa bằng khóa còn lại Tuy nhiên, điều này không cónghĩa là khóa công khai luôn được sử dụng để mã hóa và khóa riêng để giải mã; thay vào đó,chúng được sử dụng theo mục đích (xem chi tiết sau) Để ngăn chặn việc giải mã văn bảnđược mã hóa bởi bên thứ ba khi thực hiện các biện pháp chống rò rỉ thông tin hoặc các biệnpháp chống khai thác thông tin liên lạc, mã hóa được thực hiện bằng khóa công khai củangười nhận và giải mã bằng khóa riêng của người nhận

Quy trình mã hóa khóa công khai:

(1) Người gửi A mã hóa văn bản thuần túy bằng cách sử dụng khóa công khai của Người nhận B

(2) Người gửi A gửi văn bản mã hóa (tức là văn bản thuần túy được mã hóa) cho Người nhận B.

(3) Người nhận B giải mã văn bản mã hóa bằng cách sử dụng khóa riêng của Người nhận B.

Các phương pháp điển hình của mật mã khóa công khai bao gồm RSA (từ tên viết tắt của ba nhàphát triển, Rivest, Shamir và Adleman), mã hóa ElGamal áp dụng bài toán logarit rời rạc và Mật

mã đường cong Elliptic sử dụng các phương trình đường cong Elliptic

c) Mật mã khóa phiên (mật mã lai) : Mã hóa khóa phiên (mã hóa lai) sử dụng mã hóa khóa côngkhai để chuyển khóa, có điểm yếu là mã hóa khóa chung và thực hiện giao tiếp được mã hóabằng mã hóa khóa chung

Quy trình mã hóa khóa phiên:

(1) Người gửi A mã hóa khóa chung được tạo bằng cách sử dụng khóa công khai của Người nhận B.

(2) Người gửi A gửi khóa chung được mã hóa cho Người nhận B.

(3) Người nhận B giải mã khóa chung được mã hóa bằng cách sử dụng khóa riêng của Người nhận B.

(4) Người gửi A mã hóa văn bản thuần túy bằng cách sử dụng khóa chung

(5) Người gửi A gửi văn bản mã hóa (tức là văn bản thuần túy được mã hóa) cho Người nhận B.

(6) Người nhận B giải mã văn bản mã hóa bằng cách sử dụng khóa chung.

Trong mật mã khóa phiên, các khóa chung được tạo ra bằng các phương tiện như hàm băm (tức làhàm thu được giá trị đầu ra duy nhất, có độ dài cố định từ giá trị đầu vào) dựa trên số phiên giaotiếp hoặc số ngẫu nhiên Việc tạo khóa chung được thực hiện cho mỗi phiên giao tiếp được mã hóa

và khóa được chuyển bằng mật mã khóa công khai Vì lý do đó, thiệt hại bị hạn chế ngay cả khikhóa chung bị rò rỉ Ngoài ra, vì thường chỉ cần quản lý một cặp khóa công khai và khóa riêng nênviệc quản lý khóa rất đơn giản và giao tiếp được mã hóa có thể được thực hiện ở tốc độ cao bằngcách sử dụng mật mã khóa chung Nói cách khác, có thể nói cách tiếp cận này kết hợp các điểmmạnh của mật mã khóa chung và mật mã khóa công khai Tuy nhiên, ngay cả mật mã khóa phiêncũng không thể loại bỏ khả năng giả mạo

Chế độ hoạt động của mã khối xác định việc sử dụng mã khối thực hiện mã hóa theo đơn vị khối

có độ dài cố định (Mã được sử dụng trong phương pháp mã hóa theo đơn vị bit hoặc byte được gọi

là mã luồng.) Ví dụ, AES của mật mã khóa chung áp dụng mã khối 128 bit, trong khi IDEA ápdụng mã khối 64 bit

Trong các chế độ hoạt động của mã khối, có hai loại chế độ chính: một chế độ được sử dụng để chegiấu tin nhắn (phương pháp mã hóa) và chế độ còn lại để xác thực tin nhắn (mã xác thực tin nhắn)

Ví dụ, chế độ ECB là chế độ hoạt động để che giấu tin nhắn Khi chế độ này được sử dụng để mãhóa nhiều khối, có khả năng cùng một văn bản mã hóa có thể được tạo ra từ cùng một văn bản

thuần túy và nội dung có thể bị đoán Vì lý do này, một chế độ khác như chế độ CBC, tạo ra vănbản mã hóa khác nhau ngay cả khi cùng một văn bản thuần túy được mã hóa, được khuyến nghị.

2.2 Kỹ thuật xác thực

a Xác thực người dùng : Xác thực người dùng là một kỹ thuật xác thực bao gồm quá trình xác minh danh tính của người dùng Nó được sử dụng như một biện pháp chống lại việc mạo danh người dùng được ủy quyền bởi các bên thứ ba có ác ý.Trong xác thực người dùng, có nhiều phương pháp khác nhau tùy theo mục đích và ứng dụng:

 ID người dùng /Mật khẩu ID người dùng là một mã định danh được gán cho một người dùng riêng lẻ, trong khi mật khẩu là một chuỗi ký tự (tức là một từ khóa) được đăng ký trước Trong quá trình đăng nhập, kỹ thuật này tìm kiếm mật khẩu đãđăng ký tương ứng với ID người dùng do người dùng nhập Nếu mật khẩu đã đăng

ký khớp với mật khẩu do người dùng nhập, người dùng được xác thực là người dùng hợp lệ biết mật khẩu Khi sử dụng kỹ thuật này, người dùng cần tuân thủ chặtchẽ việc quản lý mật khẩu và các yêu cầu về mật khẩu để ngăn chặn việc lạm dụng mật khẩu

 Thẻ IC: Đây là một kỹ thuật xác thực người dùng thông qua thẻ IC nhựa có gắn chip IC có khả năng ghi lại thông tin Nó được sử dụng cho thẻ đi lại, thẻ ID nhân viên, v.v Khi sử dụng thẻ IC, người dùng có thể được yêu cầu nhập mã PIN (Mã

số nhận dạng cá nhân) được ghi trong chip IC để xác nhận rằng người dùng là chủ

sở hữu hợp pháp của thẻ

Thẻ IC có dung lượng lưu trữ lớn hơn 100 lần so với thẻ từ và cho phép mã hóa dữ liệu để thẻ chống làm giả Thẻ cũng có ưu điểm là chống giả mạo để ngăn chặn truy cập trái phép hoặc làm giả

 OTP (Mật khẩu dùng một lần): Đây là kỹ thuật xác thực người dùng dựa trên mật khẩu chủ yếu được sử dụng bởi các máy tính được kết nối với đường truyền thông Bằng cách sử dụng mật khẩu khác nhau cho mỗi lần đăng nhập, kỹ thuật này tránh được nguy cơ rò rỉ mật khẩu

 Xác thực sinh trắc học: Kỹ thuật xác thực này xác định một cá nhân (tức là người dùng) bằng cách sử dụng thông tin vật lý hoặc thông tin hành vi (ví dụ: tốc độ hoặclực nhấn bút được sử dụng trong chữ ký) là duy nhất đối với cá nhân đó và thông tin đó được đăng ký trước trên hệ thống xác thực Ngoài việc quản lý việc vào các khu vực an toàn, xác thực này cũng được sử dụng bởi các máy ATM của ngân hàng và máy tính cá nhân.

Mặc dù có hiệu quả trong việc ngăn chặn giả mạo, nhưng nó lại yêu cầu các hệ thống xác thực đặc biệt và tiếp tục gây ra các vấn đề trong các lĩnh vực như độ chính xác của xác thực (FRR (Tỷ lệ từ chối sai) và FAR (Tỷ lệ chấp nhận sai)), khó khăn khi thay thế, khả năng thích ứng với những thay đổi vật lý theo thời gian

và bảo vệ thông tin cá nhân

 Mật mã khóa công khai: Đây là một kỹ thuật xác thực sử dụng khóa riêng được người nắm giữ giữ bí mật

[Quy trình xác thực trong mật mã khóa công khai]:

(1) Người gửi A mã hóa dữ liệu bằng cách sử dụng khóa riêng của Người gửi A.

(2) Người gửi A gửi văn bản mã hóa (tức là dữ liệu được mã hóa) cho Người nhận B.

(3) Người nhận B giải mã văn bản mã hóa bằng cách sử dụng khóa công khai của Người gửi A Khi giải mã thành công thì xác nhận “A” là Xác thực mống mắt Xác thực dấu vân tay người gửi.

Bước (3) là điểm then chốt trong xác thực người dùng Thực tế là Người nhận B đã giải

mã thành công bằng khóa công khai của Người gửi A có nghĩa là văn bản mã hóa đã được mã hóa bằng khóa riêng của A (vì văn bản mã hóa từ văn bản thuần túy bằng cách

sử dụng một trong các cặp khóa chỉ có thể được giải mã bằng khóa còn lại) Vì chỉ A có (tức là che giấu) khóa riêng của A, nên văn bản mã hóa này không thể được tạo ra bởi bất

kỳ bên nào khác ngoài A Nói cách khác, văn bản mã hóa này được xác nhận (tức là đã được xác thực) rằng người gửi chắc chắn là A.

Tuy nhiên, cần lưu ý rằng xác thực này hoạt động tốt khi giả định rằng khóa công khai của A mà B có chắc chắn phải thuộc về A và khóa riêng đi kèm phải do một mình A sở hữu

b Xác thực tin nhắn : là một kỹ thuật xác thực xác nhận rằng dữ liệu không bị ghi đè không đúng cách Nó được sử dụng như một biện pháp để ngăn chặn việc làm giả liên quan đến việc ghi đè dữ liệu không đúng cách SHA-2 512 bit 128 bit Là một phương pháp xác thực tin nhắn điển hình được sử dụng trong truyền thông dữ liệu, có một phương pháp tính toán bản tóm tắt tin nhắn từ văn bản truyền thông (tức là dữ liệu) bằng cách sử dụng hàm băm

[Quy trình xác thực tin nhắn]

(1) Người gửi A tính toán bản tóm tắt tin nhắn từ văn bản giao tiếp SHA-1

(2) Người gửi A gửi văn bản liên lạc và bản tóm tắt tin nhắn của nó cho Người nhận B 160 bit MD5 256 bit

(3) Người nhận B tính toán bản tóm tắt tin nhắn từ văn bản liên lạc đã nhận.

(4) Người nhận B so sánh bản tóm tắt tin nhắn đã nhận với bản tóm tắt tin nhắn được tạo trong (3) và nếu hai bản tóm tắt tin nhắn giống nhau thì có thể xác nhận rằng văn bản giao tiếp không bị làm giả (hoặc bị can thiệp) trong quá trình giao tiếp.

• Hàm băm: Đây là một hàm thu được giá trị đầu ra (tức là giá trị băm) có độ dài cố định từ giá

trị đầu vào có độ dài tùy ý Nó có thuộc tính (thường được gọi là thuộc tính một chiều) là cùngmột giá trị đầu ra thu được từ cùng một giá trị đầu vào và không thể thu được giá trị đầu vào

từ giá trị đầu ra

Trên cơ sở tính chất của hàm băm, nếu có ngay cả một sự khác biệt nhỏ trong văn bản giao tiếp giữa phía người gửi và phía người nhận, thì thông điệp sẽ được chuyển đến và tạo ra bởi phía người nhận sẽ khác nhau và do đó, có thể phát hiện ra sự giả mạo.Tuy nhiên, khi sử dụnghàm băm đã biết, có khả năng cả văn bản giao tiếp và bản tóm tắt tin nhắn đều có thể bị làm giả để không bị phát hiện MAC (Mã xác thực tin nhắn) là một kỹ thuật có thể giải quyết vấn

đề này Phương pháp này sử dụng khóa (tức là khóa chung) do người gửi và người nhận sở hữu, đồng thời sử dụng giá trị MAC, được tính toán từ văn bản giao tiếp cộng với khóa chung,làm bản tóm tắt tin nhắn.(Phương pháp tính giá trị MAC là chế độ hoạt động của mã hóa khối hoặc hàm băm.) Khi sử dụng phương pháp này, bên thứ ba không biết khóa chung sẽ không thể tính toán được giá trị MAC chính xác và do đó, mức độ bảo mật được nâng cao

c Chữ ký số : Chữ ký số là một kỹ thuật xác thực kết hợp xác thực người dùng và xác thực tin nhắn bằng mật mã khóa công khai

[Thủ tục chữ ký số]:

(1) Người gửi A tính toán bản tóm tắt tin nhắn từ văn bản giao tiếp.

(2) Người gửi A mã hóa bản tóm tắt tin nhắn bằng cách sử dụng khóa riêng của Người gửi A.