BÁO CÁO Mật mã và an toàn dữ liệu Các vấn đề chung về bảo mật hệ thống và mạng

BÁO CÁO Mật mã và an toàn dữ liệu Các vấn đề chung về bảo mật hệ thống và mạng 1.Một số khái niệm về bảo mật 2. Lịch sử bảo mật mạng và hệ thống 3. Một số hình thức tấn công mạng 4. Các mức bảo vệ an toàn mạng Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép.

Trang 1

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

BÁO CÁO GIỮA KỲMôn học: Mật mã và an toàn dữ liệu

Giảng viên: PGS.TS Trịnh Nhật Tiến Học viên : Lê Thị Thu Thảo

MSHV: 13025100 Lớp: INT 60102

Số điện thoại: 0984271084

Hà Nội – 2014

Trang 2

NỘI DUNG

Chương I Các vấn đề về an ninh mạng Chương II Các phương thức mã hoá

Trang 4

1 Một số khái niệm về bảo mật

1.1 Đối tượng tấn công mạng

1.2 Các lỗ hổng bảo mật

1.3 Chính sách bảo mật

Trang 5

1.1 Đối tượng tấn công mạng

và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép

 Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách Hacker:

sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập trên hệ thống

 Masquerader: Là những kẻ giả mạo thông tin trên mạng Một Masquerader:

số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng

 Eavesdropping: Là những đối tượng nghe trộm thông tin trên Eavesdropping:

mạng, sử dụng các công cụ sniffer; sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị

nhau: như ăn cắp những thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc cũng có thể chỉ là những hành động

vô ý thức, thử nghiệm các chương trình không kiểm tra cẩn thận

Trang 6

1.2 Các lỗ hổng bảo mật

chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp

lỗi của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp

chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng tới toàn bộ hệ thống

yếu của một số dịch vụ và biện pháp khắc phục

Trang 7

1.3 Chính sách bảo mật

 Là tập hợp các qui tắc áp dụng cho mọi đối tượng có tham gia

quản lý và sử dụng các tài nguyên và dịch vụ mạng

trách nhiệm của mình trong việc bảo vệ các tài nguyên thông tin trên mạng, đồng thời giúp các nhà quản trị thiết lập các biện pháp bảo đảm hữu hiệu trong quá trình trang bị, cấu hình, kiểm soát hoạt động của hệ thống và mạng

gồm các văn bản pháp qui, kèm theo các công cụ bảo mật hữu hiệu và nhanh chóng giúp người quản trị phát hiện, ngăn chặn các xâm nhập trái phép

bảo mật sẽ được trình bày trong phần 3

Trang 8

2 Lịch sử bảo mật mạng và hệ thống

nảy sinh các yêu cầu về bảo mật hệ thống như sau:

 Năm 1988: Trên mạng Internet xuất hiện một chương trình tự

nhận phiên bản của chính nó lên tất cả các máy trên mạng Internet Các chương trình này gọi là "sâu" Tuy mức độ nguy hại của nó không lớn, nhưng nó đặt ra các vấn đề đối với nhà quản trị về quyền truy nhập hệ thống, cũng như các lỗi phần mềm

 Năm 1990: Các hình thức truyền Virus qua địa chỉ Email xuất

hiện phổ biến trên mạng Internet

Trang 9

2 Lịch sử bảo mật mạng và hệ thống

liên quan như Java, Javascipts đã có rất nhiều các thông báo lỗi về bảo mật liên quan như:

 Các lỗ hổng cho phép đọc nội dung các file dữ liệu của người

dùng, một số lỗ hổng cho phép tấn công bằng hình thức DoS, spam mail làm ngưng trệ dịch vụ

các chương trình gửi mail của Microsoft, gây những thiết hại kinh tế không nhỏ

ebay.com bị tê liệt, ngừng cung cấp dịch vụ trong nhiều giờ do bị tấn công bởi hình thức DoS

Trang 10

3 Một số hình thức tấn công mạng

thống đó cung cấp;

Ví dụ những kẻ tấn công lợi dụng các điểm yếu trong các

dịch vụ mail, ftp, web để xâm nhập và phá hoại

nhập vào hệ thống bất hợp pháp;

Lan truyền virus trên hệ thống;

nhau để đạt được mục đích

Trang 11

ứng với các hình thức tấn công khác nhau:

Trang 12

Email, dẫn đến các nguy cơ lộ các thông tin về cấu hình mạng Các hình thức tấn công ở mức này có thể dùng DoS hoặc spam mail

 Mức 2 (Level 2): Kẻ phá hoại dùng tài khoản của người dùng

hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào các phương thức tấn công như bẻ khoá, đánh cắp mật khẩu .); kẻ phá hoại có thể thay đổi quyền truy nhập hệ thống qua các lỗ hổng bảo mật hoặc đọc các thông tin trong tập tin liên quan đến truy nhập hệ thống như /etc/passwd

 Từ Mức 3 đến mức 5: Kẻ phá hoại không sử dụng quyền của

người dùng thông thường; mà có thêm một số quyền cao hơn đối với hệ thống; như quyền kích hoạt một số dịch vụ; xem xét các thông tin khác trên hệ thống

Trang 13

4 Các mức bảo vệ an toàn mạng

phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối với các hoạt động xâm phạm

giữ trong các máy tính, đặc biệt là trong các server của mạng

thông tin tại các trạm của mạng

Trang 14

gồm:

nguyên (ở đây là thông tin) của mạng và quyền hạn (có thể thực hiện những thao tác gì) trên tài nguyên đó Hiện nay việc kiểm soát ở mức này được áp dụng sâu nhất đối với tệp

đăng ký tên/ và mật khẩu tương ứng

tốn kém và cũng rất có hiệu quả

các tài nguyên đều phải có đăng ký tên và mật khẩu

mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tuỳ theo thời gian và không gian

Trang 15

• Dữ liệu được biến đổi từ dạng "đọc được" sang dạng không

"đọc được" theo một thuật toán nào đó

hoá hiện được sử dụng phổ biến ở phần dưới đây

các truy nhập vật lý bất hợp pháp vào hệ thống

người không có nhiệm vụ vào phòng đặt máy, dùng hệ thống khoá trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào hệ thống

chặn các thâm nhập trái phép và cho phép lọc các gói tin mà

ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó

Trang 16

Chương II Các phương thức mã hoá

cơ chế mã hoá Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảo tính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ trên mạng Internet

 1 Đặc điểm chung của các phương thức mã hóa

2.3 Phương thức mã hoá một chiều - thuật toán Băm

2.4 Message Authentication Codes - MAC

Trang 17

1 Đặc điểm chung của các phương thức mã hóa

trung giải quyết 6 vấn đề chính như sau:

1.1 Authentication - Hoạt động kiểm tra tính xác thực một thực

thể trong giao tiếp 1.2 Authorization - Hoạt động kiểm tra thực thể đó có được phép

thực hiện những quyền hạn cụ thể nào

1.3 Confidential - Tính bảo mật: Xác định mức độ bảo mật đối với

mỗi phương thức bảo mật

1.4 Integrity - Tính toàn vẹn: Kiểm tra tính toàn vẹn dữ liệu khi sử

dụng mỗi phương thức bảo mật cụ thể

1.5 Nonrepudiation - Tính không thể phủ nhận Xác định tính xác

thực của chủ thể gây ra hành động1.6 Availability - Khả năng thực hiện phương thức bảo mật đó

trong môi trường và điều kiện thực tế

Trang 18

1.1 Authentication

giao tiếp trên mạng

một thiết bị phần cứng

nhất trong các hoạt động của một phương thức bảo mật

của một thực thể trước khi thực thể đó thực hiện kết nối với hệ

Trang 19

1.2 Authorization

trước, đối tượng cần kiểm tra cần phải cung cấp những thông tin mà chúng biết:

number)

tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu:

• ví dụ như private key,

• hoặc số thẻ tín dụng.

tính duy nhất, đối tượng kiểm tra cần phải có những thông tin

để định danh tính duy nhất của mình:

Trang 20

1.3 Confidential

bảo mật, mức độ có thể phục hồi dữ liệu từ những người không có quyền đối với dữ liệu đó

trình xử lý, lưu truyền trên mạng

truyền vật lý

Trang 21

1.4 Integrity

nguyên thủy ban đầu;

các dữ liệu mã hóa không thể bị thay đổi nội dung so với tài liệu gốc (khi đã được giải mã) và trong trường hợp những kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể khôi phục lại dạng ban đầu của dữ liệu

Trang 22

1.5 Nonrepudiation

bảo mật

định chính xác đối tượng "ký"- người gửi message đó

Trang 23

1.6 Availability

với các hệ thống máy tính, dữ liệu và thực hiện với các tài nguyên phần cứng, phần mềm;

chuyển đổi, tính tương thích giữa các hệ thống khác nhau

Trang 24

2 Các phương thức mã hóa

2.1 Phương thức mã hóa dùng khoá bí mật (Secret Key Crytography)2.2 Phương thức mã hóa dùng khoá công khai(Public-Key Crytography)2.3 Phương thức mã hoá một chiều - thuật toán Băm

2.4 Message Authentication Codes - MAC

Trang 25

2.1 Phương thức mã hóa dùng khoá bí mật

(Secret Key Crytography)

Trang 26

dụng Private Key (khoá mà chỉ có người mã hoá mới biết được) tạo thành message được mã hoá (Ciphertext)

 Ở phía nhận, message mã hoá được giải mã cùng với Private

Key mã hoá ban đầu thành dạng Plaintext

mật cho cả quá trình mã hoá và quá trình giải mã

 Do đó, nhược điểm chính của phương thức này là cần có quá

trình trao đổi khoá bí mật, dẫn đến tình trạng dễ bị lộ khoá bí mật

Trang 27

hoá theo bits dữ liệu

Cipher) thực hiện chia message ở dạng plaintext thành các khối

ví dụ 64 bits (hoặc 2n bits), sau đó tiến hành mã hoá từng khối này

thêm phần dữ liệu đệm (padding)

Trang 28

khoá bí mật

quá trình trao đổi khoá bí mật, người ta đã sử dụng phương pháp mã hoá phi đối xứng sử dụng một cặp khoá tương ứng với nhau gọi là phương thức mã hoá phi đối xứng dùng khoá công khai (Public-Key

Tên thuật toán Chế độ mã hoá Chiều dài khoá

Trang 29

2.2 Phương thức mã hóa dùng khoá công khai

(Public-Key Crytography)

Whitfield Diffie và Martin Hellman vào năm 1975;

Key có các quan hệ toán học với nhau

lộ do không cần phải trao đổi trên mạng;

nhận được khoá này

ta gọi nó là phương thức mã hóa phi đối xứng

"secret Key" được sử dụng trong phương thức mã hóa đối xứng sử dụng khoá bí mật do Private Key không được trao đổi trên mạng

Trang 30

với nhau và được sinh ra sau khi thực hiện các hàm toàn học;

thể tìm được private key từ public key và ngược lại

gọi là key pair

bằng public key chỉ có thể giải mã được bằng private key tương

ứng;

được bằng public key tương ứng của nó

Trang 31

dụng cả cho bảo mật và ký điện tử

hóa plaintext (tức là quá trình ký) mà không có khả năng giải

mã ciphertext

thể mã hóa hoặc không thể ký; thuật toán này được gọi là thuật toán key exchange (thuật toán chuyển đổi khóa)

key và private key

Tên Thuật toán Type Nền tảng toán họcDSA Digital signature Thuật toán rời rạcRSA Digital signature,

Key Exchange Tìm thừa số

Trang 32

này, đó là Rivest, Shamir và Adleman

 RSA là thuật toán public-key thông dụng nhất từ trước tới nay

vi từ 512 đến 2048 bits

độ tính toán và độ phức tạp của phương thức mã hóa

được ra đời từ chuẩn DSS (Digital Signature Standard), được giới thiệu vào năm 1994

Trang 33

được mô tả bằng hình sau:

Encrytion

Public key

Private key

Hình Phương thức mã hóa phi đối xứng

public-key

(A có thể nhận được Public Key của B do Public Key là khoá công khai)

đọc được message ban đầu của A

Trang 34

một số vấn đề cần giải quyết như sau:

Public Key của B?

được gửi đi từ A

thức mã hoá phi đối xứng như sau:

C là một người nghe trộm, C có thể lấy được ciphertext chuyển từ A đến B, nhưng không thể giải mã được message này vì C không có private key của B

Trang 35

 Vấn đề đặt ra là làm thế nào để A có thể biết chính xác Public

key mà A sử dụng đúng là Public Key của B

đến A (A nhận được Public key là của D mà không phải là của B), và A vẫn mã hoá message của mình;

của mình

tổ chức thứ ba đóng vai trò trung gian trong việc xác thực tín đúng đắn của một Public Key

Trang 36

message và gửi message đó tới B?

message từ A

một khóa công khai) nên nếu nhận được message gửi từ A cũng có thể giải mã được message và đọc nó

một message

Public Key ta có thể thấy rằng message được mã hoá là được gửi từ A mà không phải là một người khác

Trang 37

làm giảm tốc độ thực hiện thao tác xuống từ 100 đến 1000 lần so với phương thức mã hóa đối xứng

với dữ liệu kích thước lớn

đầu của kết nối giữa hai thực thể cần giao tiếp với nhau và sau đó một khoá bí mật (secret key) được tạo để thực hiện quá trình trao đổi dữ liệu (khoá bí mật này chỉ tồn tại trong một session làm việc duy nhất)

quá trình bắt tay giữa hai thực thể cần trao đổi thông tin có yêu cầu bảo mật kết hợp với thuật toán dùng khoá bí mật cho quá trình trao đổi dữ liệu tạo thành một phương thức mã hóa lai

ra giao thức SSL thực hiện các quá trình trên

Trang 38

khắc phục khi sử dụng phương thức mã hóa dựa trên nền tảng

Public key đó là:

message đó là hoàn toàn bảo mật; nhưng cần phải kiểm tra tính xác thực của public key (1)

mã được bởi nhiều người có được public key; nhưng lại có thể

sử dụng phương thức này để kiểm tra tính xác thực của một

người ký vào message đó (2)

Trang 39

phiên giao dịch là hoàn toàn bảo mật và tin cậy Cụ thể như sau:

dung của message này là public key của người đó

người;

đảm bảo rằng chỉ có người có private key của nó mới có khả năng giải mã được

Trang 40

2.3 Phương thức mã hoá một chiều - thuật toán

Băm

liệu ban đầu, người ta đưa ra các phương thức mã hoá một chiều sử dụng các thuật toán Băm

sau:

one-way function

(hash)

Hình Mã hóa một chiều

Trang 41

Băm

(Message - Digest):

có chiều dài cố định (message này gọi là message digest,

hoặc digest hoặc hash)

đầu ra tương ứng và từ Message Digest không thể tìm ra

Message dạng Plaintext ban đầu

tạo ra một chuỗi các ký tự - đặc trưng cho message đầu vào

thường gọi là thuật toán hash

mà thường sử dụng để kiểm tra tính toán vẹn của dữ liệu

trong quá trình truyền thông tin trên mạng

Trang 42

Băm

của nó (nói cách khác là thuật toán hashing phải đảm bảo có tính một chiều, không thể thực hiện theo chiều ngược lại)

giống nhau

Trang 43

Băm

 Nếu chiều dài của digest là m bits, nó sẽ cần phải thử 2m message để

meesage để tìm 2 message có cùng một digest

Thuật toán Chiều dài của digest (bits)

phải có đầu ra ít nhất là 128 bits, vì tối

thiểu là 264 là không thể tính toán được

với các khả năng tính toán hiện nay

 Bảng sau đây mô tả một số thuật toán

hashing thường sử dụng:

Trang 44

2.4 Message Authentication Codes - MAC

một message để kiểm tra tính toàn vẹn dữ liệu của message đó

khai có thể được sử dụng như là nền tảng của việc tạo các MACs

cipher text (một đoạn text đã được mã hóa) được tạo từ

phương thức mã hóa đối xứng sử dụng khóa bí mật

này một thời gian dài để bảo vệ các giao dịch điện tử giữa các nhà bank trên mạng

Định dạng
Số trang	54
Dung lượng	3,81 MB