1. Trang chủ
  2. » Công Nghệ Thông Tin

Tìm hiêu giao thức SSL và thực hiện mô phỏng tấn công SSLStrip

37 1K 14

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 37
Dung lượng 2,15 MB
File đính kèm demo_sslstrip.rar (18 MB)

Nội dung

Có một vài giao thức góp phần tối ưu công việc bảo mật thông tin trên nền World Wide Web. Một trong số đó là giao thức SSL (viết tắt Secure Sockets Layer) Tài liệu xin trình bày những hiểu biết về giao thức SSL và demo 1 hình thức tấn công qua SSL.

Trang 1

LỜI NÓI ĐẦU 3

CHƯƠNG 1 : TỔNG QUAN VỀ GIAO THỨC SSL 4

1 Khái niệm 4

2 Tại sao sử dung SSL: 5

3 Lịch sử phát triển 7

4 Các thuật toán mã hóa dùng trong SSL 8

5 Cách thức hoạt động 8

5.1 Đàm phán Cipher suite 8

5.2 Xác thực server 9

5.3 Gửi dữ liệu đã mã hóa 9

5.4 Tiến trình SSL 9

5.5 Lựa chọn Cipher suite và xóa Entuty verification 11

6 Một số ứng dụng của SSL 12

6.1 Ứng dụng công nghệ xác thực máy chủ SSL trong giao dịch thương mại điện tử 12

6.2 Ứng dụng SSL trong chữ kí số 13

6.3 Giải pháp máy ảo chuyên dụng SSL 15

6.4 Ứng dụng SSL VPN dành cho ISP 16

CHƯƠNG 2: CÁC GIAO THỨC BẢO MẬT SSL 17

1 Cấu trúc của giao thức SSL 17

2 Các giao thức bảo mật SSL 18

2.1 Giao thức bản ghi SSL Record Protocol 18

2.2 Giao thức SSL Change Cipher Spec : 21

2.3 Giao thức cảnh SSL Alert 21

2.4 Giao thức bắt tay (Handshake Protocol) 22

2.4.1 Giai đoạn 1 – Thiết lập khả năng bảo mật : 24

2.4.2 Giai đoạn 2 – Xác thực server và trao đổi khóa : 26

2.4.3 Giai đoạn 3 – Xác thực client và trao đổi khóa: 28

2.4.4 Giai đoạn 4 – Kết thúc : 29

2.5 Tính toán mã hóa 30

2.5.1 Việc tạo Master Secret : 30

2.5.2 Việc sinh các tham số mã hóa : 31

CHƯƠNG 3 : Demo Tấn Công SSLstrip - Man In The Middle 33

1 Giới thiệu về SSLstrip 33

Trang 2

2 Yêu cầu 33

3 Tiến hành 34

Bước 1 : Trên attacker , ta bật enable chức năng IPv4 forward Để tiến hành ARP poisoning : 34 Bước 2 : dùng IPtables để chuyển cất cả gói tin TCP ở port 80 sang port bất kì, ở đây ta chọn port 8080 Port này là port listen của ssl strip sau này 35

Bước 3 : chạy sslstrip listen ở port đã chọn ở trên (port 8080) : 35

Bước 4 : Tiến hành arpspoof ( giả mạo địa chỉ MAC máy victim) : 35

Bước 5 : Trên máy nạn nhân : 36

Bước 6 : Trên máy nạn nhân thực hiện các thao tác trên nền web (http port 80) và kiểm tra xem kết quả ở file filelog.log 36

Tài liệu tham khảo 37

Trang 3

LỜI NÓI ĐẦU

Như chúng ta đã biết thì kể từ khi Internet ra đời Cùng với đó lĩnh vực công nghệ tin không ngừng phát triền, kèm theo Mạng Internet mang lại rất nhiều tiện ích hữu dụng cho người sử dụng, một trong các tiện ích phổ thông của Internet là hệ thống thư điện tử (email), trò chuyện trực tuyến (chat), máy truy tìm dữ liệu (search engine), các dịch vụ thương mại và chuyển ngân, và cácdịch vụ về y tế giáo dục như là chữa bệnh từ xa hoặc tổ chức các lớp học ảo Chúng cung cấp một khối lượng thông tin và dịch vụ khổng lồ trên Internet - Nguồn thông tin khổng lồ kèm theo các dịch vụ tương ứng chính là hệ thống cáctrang Web liên kết với nhau và các tài liệu khác trong WWW (World Wide Web).Đó là một kênh trao đổi thông tin rất hữu ích và nhanh chóng Song tất cảkhông phải là toàn mỹ , nghĩa là mọi thông tin khi bạn trao đổi thông qua

Internet có thể bị bên thứ 3 tác động vào hay là lộ mất mát thông tin v.v

Để khắc phục những hạn chế đó người ta đã phát triển nên các giao thức giúp phần nào hạn chế điều đó Trong đó biết tới một giao thức góp phần tối ưu công việc bảo mật thông tin trên nền World Wide Web Đó là giao thức SSL (viết tắt Secure Sockets Layer)

Nhận biêt được tầm quan trọng của nó, nhóm em xin trình bày những hiểu biết về giao thức SSL và demo 1 hình thức tấn công qua SSL

Trang 4

CHƯƠNG 1 : TỔNG QUAN VỀ GIAO THỨC SSL

1 Khái niệm

SSL (Secure Sockets Layer) là giao thức đa mục đích được thiết kế để tạo

ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định

trước(socket 443) nhằm mã hóa toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật

cá nhân (PIN) trên Internet

Để đảm bảo tính bảo mật thông tin trên Internet hay bất kì mạng TCP/IP nào thì SSL ra đời kết hợp với những yếu tố sau để thiết lập giao dịch an toàn:

Xác thực: đảm bảo tính xác thức của trang mà bạn sẽ làm việc ở đầu

kia của kết nối Cũng như vậy, các trang Web cũng cần phải kiểm tratính xác thực của người sử dụng

Mã hóa: đảm bảo thông tin không bị truy cập bởi đối tượng thứ ba

Để loại trừ việc nghe trộm những thông tin “nhạy cảm” khi nó được truyền qua Internet

Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải

thể hiện chính xác thông tin gốc gửi đến

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

Xác thực server: Cho phép người sử dụng xác thực được server muốn

kết nối Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai

để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các

CA đáng tin cậy của client Điều này rất quan trọng đối với người dùng Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không

Xác thực Client: Cho phép phía server xác thực được người sử dụng

muốn kết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai

để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không Điều này rất quan trọng đối với các nhà cung cấp Ví dụ như khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận

Trang 5

Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server

được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu ( đó là các thuật toán băm – hash algorithm)

2 Tại sao sử dung SSL:

Ngày nay việc bảo mật thông tin là yếu tố quan trọng để quyết định sự sống còn của một tổ chức ,một công ty hay doanh nghiệp Với sự phát triểnnhanh chóng của công nghệ đã mang lại nhiều tiện ích cho người dùng nhưng đồng thời cũng đặt ra một nhu cầu hết sức cấp thiết về sự an toàn và bảo mật Và SSL chính là giải pháp tốt nhất hiện nay

đáp ứng những nhu cầu đó và nó được coi như là “lá chắn cuối cùng”

trong bảo mật thương mại điện tử

Giao thức SSL ban đầu được phát triển bởi Netscape.Version 1.0 thì

đã không bao giờ được công bố rộng rãi.Version 2.0 được công bố vào tháng 2/1995 nhưng chứa nhiều lỗ hổng bảo mật và sau cùng đưa đến

mô hình SSL version 3.0 được ban hành năm 1996.Bản sau cùng này

được dùng cho TLS version 1.0 và được IETF xác định như một giao

thức chuẩn trong RFC 2246 vào tháng 1/1999 Ngày nay Visa,

MasterCard, American Express cũng như nhiều công ty giải pháp tài

chính hàng đầu khác trên thế giới đã và đang ứng dụng SSL trong

thương mại điện tử

Việc truyền các thông tin nhạy cảm trên mạng rất không an toàn vì nhữngvấn đề sau:

 Bạn không thể luôn luôn chắc rằng bạn đang trao đổi thông tin với đúng đối tượng cần trao đổi

 Dữ liệu mạng có thể bị chặn ,vì vậy dữ liệu có thể bị 1 đối tượng thứ 3 khác đọc trộm, thường được biết đến như attacker

 Nếu attacker có thể chặn dữ liệu, attacker có thể sửa đổi dữ liệu trước khi gửi nó đến người nhận

SSL giải quyết các vấn đề trên.SSL giải quyết vấn đề đầu tiên bằng cáchcho phép 1 cách tùy chọn mỗi bên trao đổi có thể chắc chắn về định danh của phía đối tác trong 1 quá trình gọi là uthentication (xác thực).Một khi các bên đã được xác thực,SSL cung cấp 1 kết nối được mã hóa giữa 2 bên

Trang 6

để truyền bảo mật các message Việc mã hóa trong quá trình trao đổi thôngtin giữa 2 bên cung cấp sự riêng tư bí mật,vì vậy mà giải quyết được vấn

đề thứ 2.Thuật toán mã hóa được sử dụng với SSL bao gồm hàm băm mã hóa,tương tự như 1 checksum.Nó đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền dẫn.Hàm băm mã hóa giải quyết vấn đề thứ 3,tính toàn vẹn dữ liệu

Chú ý rằng,cả xác thực và mã hóa đều là tùy chọn, và phụ thuộc vào cipher suites (các bộ mã hóa) được đàm phán giữa 2 đối tượng

Một ví dụ rõ ràng nhất mà trong đó bạn nên sử dụng SSL là trao đổi thông tin giao dịch qua mạng (e-commerce).Trong trao đổi e-

commerce,thật dại dột khi giả định rằng bạn có thể chắc chắn về định danh của server mà bạn đang trao đổi thông tin.Ai đó có thể dễ dàng tạo

ra 1 Website giả hứa hẹn các dịch vụ tuyệt vời ,chỉ để cho bạn nhập vào

đó số tài khoản.SSL cho phép bạn, client,xác thực về định danh của

server.Nó cũng cho phép server xác thực định danh của client,mặc dù trong các giao tác Internet,việc này hiếm khi được làm

Một khi client và server đã hài lòng với định danh của mỗi bên đối tác.SSL cung cấp tính bảo mật và tính toàn vẹn thông qua các thuật toán

mã hóa mà nó sử dụng.Điều này cho phép các thông tin nhạy cảm,như số tài khoản,được truyền đi 1 cách an toàn trên Internet

Trong khi SSL cung cấp tính xác thực,tính bảo mật và toàn vẹn dự liệu,nó không cung cấp non-repudiation (tính không từ chối).Non-

repudiation có nghĩa là khi 1 đối tượng gửi đi 1 message ,thì sau đó

không thể phủ nhận việc mình đã gửi message đó.Khi 1 chữ kí số

tương đương được liên kết với 1 message,việc trao đổi này sau đó có thể được chứng minh.SSL 1 mình nó không cung cấp non-repudiation

Trang 7

3 Lịch sử phát triển

Như chúng ta đã biết có hai giao thức bảo mật quan trọng lớp vận

chuyển(Layer Transport) có tầm quan trọng cao nhất đối với sự bảo mật của các trình ứng dụng trên Web : đó là hai giao thức SSL và TLS

Nói chung, có một số khả năng để bảo vệ bằng mật mã lưu lượng dữ liệu HTTP Ví dụ, vào những năm 1990, tập đoàn CommerceNet đã đề xuất S-HTTP mà về cơ bản là một cải tiến bảo mật của HTTP Một phần thực thi của S-HTTP đã làm cho có sẵn công cộng trong một phiên bản được chỉnh sửa của trình duyệt Mosaic NCSA mà những người dùng phải mua

Tuy nhiên, cùng thời điểm Netscape Communication đã giới thiệu SSL và một giao thức tương ứng phiên bản đầu tiên của Netscape Navigator, trái với tập đoàn CommerrceNet, Netscape Communications đã không tính phí các khách hàng của nó về việc thực thi giao thức bảo mật của nó Kết quả, SSL trở thành giao thức nổi bật để cung cấp các dịch vụ bảo mật cho lưu lượng dữ liệu HTTP 1994 và S-HTTP lặng lẽ biến mất

Cho đến bây giờ, có 3 phiên bản của SSL:

SSL 1.0: được sử dựng nội bộ chỉ bởi Netscape Comminications Nó

chứa một số khiếm khuyết nghiêm trọng và không bao giờ được tung

ra bên ngoài

Trang 8

SSL 2.0: được kết nhập vào Netscape Communications 1.0 đến 2.x

Nó có một số điểm yếu lien quan đến sự hiện than cụ thể của cuộc tấn công của đối tượng trung gian Trong một nỗ lực nhằm dung sự không chắc chắn của công chúng và bảo mật của SSL, Microsoft cũng đã giới thiệu giao thức PCT(Private Communication

Technology) cạnh tranh trong lần tung ra Interner Exploer đầu tiên của nó vào năm 1996

SSL 3.0: Netscape Communications đã phản ứng lại sự thách thức

PCT của Microsoft bằng cách giới thiệu SSL 3.0 vốn giải quyết các vấn đề trong SSL 2.0 và them một số tính năng mới Vào thời điểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiên bản phần mềm dựa vào TCP/IP của nó

Thông số kỹ thuật mới nhất của SSL 3.0 đã được tung ra chính thức vào tháng 3/1996 Nó được thực thi trong tất cả các trình duyệt chínhbao gồm ví dụ Microsoft Interner Explorer 3.0(và các phiên bản cao hơn), và Open

4 Các thuật toán mã hóa dùng trong SSL.

 (Data Encryption Standard): là một thuật toán mã hóa DES có chiều dài khóa là 56 bit

 3-DES:là thuật toán mã hóa có độ dài khóa gấp 3 lần độ dài khóa trong mã hóa DES

 DSA(Digital Signature Algorithm): là một phần trong chuẩn về xác thực số đang được chính phủ Mỹ sự dụng

 KEA(Key Exchange Algorithm): là một thuật toán trao đổi khóa đangđược chính phủ Mỹ sử dụng

 MD5(Message Digest Algorithm): được phát triển bởi Rivest

 RSA: là thuật toán mã hóa công khai dùng trong cả quá trình mã hóa

và giải mã được Rivest, Shamir và Adleman phát triển

 RSA key exchange: là thuật toán trao đổi khóa dùng trong SSL dựa trên thuật toán RSA

 RC2 and RC4: là các thuật toán mã hóa được phát triển bởi Rivest dùng cho RSA Data Security

 SHA-1(Secure Hash Algorithm): là một thuật toán băm đang được chính phủ Mỹ sử dụng

5 Cách thức hoạt động

5.1.Đàm phán Cipher suite.

Trang 9

Một phiên SSL bắt đầu với việc đàm phán giữa client và server xem cipher suite nào mà chúng sẽ sử dùng Một cipher suite là 1 tập các thuật toán mã hóa và kích thước khóa mà máy tính có thể dùng để mã hóa dữ liệu Một cipher suite bao gồm thông tin về các thuật toán trao đổi khóa công khai và các thuật toán thỏa thuận khóa,và các hàm băm

mã hóa Client nói với server các cipher suite nào nó có sẵn và server lựachọn cipher suite tốt nhất có thể chấp nhận

5.2.Xác thực server.

Trong SSL, bước xác thực là tùy chọn, nhưng trong ví dụ về giao tác e-commerce trên Web, client theo thông thường sẽ muốn xác thực server.Việc xác thực server cho phép client chắc chắn rằng chính server này đại diện cho đối tượng mà client tin tưởng

Để chứng minh server thuộc về tổ chức mà nó khẳng định là nó đại diện, server phải trình chứng chỉ khóa công khai của nó cho client Nếu chứng chỉ này là hợp lệ , client có thể chắc chắn về định danh của server

Thông tin trao đổi qua lại giữa client và server cho phép chúng thỏa thuận 1 khóa bí mật chung Ví dụ,với RSA, client dùng khóa công khai của server, có được từ chứng chỉ khóa công khai, để mã hóa thông tin khóa bí mật Client gửi thông tin khóa bí mật đã được mã hóa đến server.Chỉ có server mới có thể giải mã cái message này bởi vì quá trình giải

mã phải cần đến khóa riêng của server

5.3.Gửi dữ liệu đã mã hóa.

Bây giờ, cả client và server có thể truy cập đến khóa bí mật chung.Vớimỗi message , chúng dùng đến hàm băm mã hóa, đã được chọn trong bước thứ nhất của tiến trình này, và chia sẻ thông tin bí mật,để tính toán 1 HMAC nối thêm vào message Sau đó, chúng dùng khóa bí mật

và thuật toán khóa bí mật đã được đàm phán ở bước đầu tiên của tiến trình này để mã hóa dữ liệu và HMAC an toàn Client và server giờ đây có thể trao đổi thông tin với nhau 1 cách an toàn với các dữ liệu

đã băm và mã hóa

5.4.Tiến trình SSL.

Trang 10

Các Massage SSLCác message SSL được gửi theo thứ tự sau:

1) Client hello: client gửi đến server các thông tin bao gồm phiên bản SSL cao

nhất và 1 danh sách các cipher suite mà nó hỗ trợ (TLS 1.0 được chỉ ra như là SSL3.1).Thông tin cipher suite bao gồm các thuật toán mã hóa và kích thước khóa

2) Server hello: server chọn ra phiên bản SSL cao nhất và cipher suite tốt nhất

mà cả client và server hỗ trợ, và gửi thông tin này về cho client

3) Certificate: server gửi cho client 1 chứng chỉ hoặc 1 chuỗi chứng chỉ.Về cơ

bản,1 chuỗi chứng chỉ bắt đầu bằng chứng chỉ khóa công khai của server và kết thúc bằng chứng chỉ gốc của tổ chức có thẩm quyền chứng chỉ.Message này là tùy chọn,nhưng nó được dùng bất cứ khi nào xác thực server là cần thiết

4) Certificate request: nếu server cần xác thực client,nó gửi cho client 1 yêu cầu

xem chứng chỉ.Trong các ứng dụng internet,message này hiếm khi được gửi đi

5) Server key exchange: server gửi cho client 1 message trao đổi khóa server

trong khi khóa công khai được gửi ở phần 3) bên trên thì không đủ cho trao đổi khóa

6) Server hello done: server nói với client rằng nó hoàn thành các message đàm

phán ban đầu

7) Certificate: nếu server cần chứng chỉ từ client trong message 4, client gửi

chuỗi chứng chỉ của nó,cũng giống như server làm trong message 3

8) Client key exchange: client sinh ra thông tin được dùng để tạo ra khóa trong

mã hóa đối xứng.Với RSA, client mã hóa thông tin khóa này bằng khóa công

Trang 11

khai của server rồi gửi nó đến server.

9) Certificate verify: message này được gửi khi client trình ra chứng chỉ như

trên.Mục tiêu của nó là cho phép server hoàn thành tiến trình xác thực

client.Khi message này được dùng,client gửi thông tin với chữ kí số tạo bằng hàm băm mã hóa.Khi server giải mã thông tin này bằng khóa công khai của client,server có thể xác thực client

10) Change cipher spec: client gửi message bảo server thay đổi kiểu mã hóa 11) Finished: client nói với server rằng nó sẵn sàng để bắt đầu trao đổi dữ liệu

an toàn

12) Change cipher spec: server gửi message bảo client thay đổi kiểu mã hóa 13) Finished: server nói với client rằng nó sẵn sàng để bắt đầu trao đổi dữ liệu

an toàn.Kết thúc SSL handshake

14) Encrypted data: client và server trao đổi với nhau,sử dụng thuật toán mã

hóa đối xứng và hàm băm mã hóa đã đàm phán ở message 1 và 2 và dùng khóa

bí mật mà client gửi cho server trong message 8

15) Close message: kết thúc 1 kết nối, mỗi bên gửi 1 massage close-notify để

thông báo đầu kia biết kết nối bị đóng

5.5.Lựa chọn Cipher suite và xóa Entuty verification.

 Giao thức SSL định nghĩa 1 chuỗi các bước đặc biệt để bảo đảm 1 kết nối

“được bảo vệ”.Tuy nhiên,việc lựa chọn Cipher suite sẽ tác động trực tiếp đến loại bảo mật mà kết nối có được.Ví dụ,nếu 1 cipher suite nặc danh được chọn,ứng dụng không có cách nào để kiểm tra định danh của đầu xa.Nếu 1 suite-không có mã hóa, được chọn,tính bí mật của dữ liệu

không thể được bảo vệ.Thêm vào đó,giao thức SSL/TLS không chỉ rõ rằng những tài liệu chứng nhận nhận được phải khớp với những cái mà đầu kia gửi.Nếu kết nối theo cách nào đó mà bị redirect đến 1 kẻ

xấu,nhưng tài liệu chứng nhận của kẻ xấu này khi trình ra thì được chấp nhận dựa trên những tư liệu tin tưởng hiện tại,kết nối này sẽ được xét là hợp lệ

 Khi dùng SSLSockets/SSLEngines,nên luôn luôn kiểm tra tài liệu chứng nhận của đầu xa trước khi gửi bất kì dữ liệu nào.Các lớp SSLSockets và SSLEngines không tự động kiểm tra hostname trong URL có khớp với hostname trong tài liệu chứng nhận của đầu kia hay không.Một ứng dụng

Trang 12

có thể bị khai thác bằng URL spoofing nếu hostname không được kiểm tra.

 Các giao thức như HTTPS cần thiết phải kiểm tra hostname.Các ứng dụng có thể dùng HostnameVerifier để viết chồng lên luật hostname HTTPS mặc định

6 Một số ứng dụng của SSL.

6.1.Ứng dụng công nghệ xác thực máy chủ SSL trong giao dịch thương mại điện tử.

Một khách hàng làm quen với Website và truy nhập một địa chỉ URL

an toàn, được đảm bảo bằng mã số máy chủ Điều này có thể là một mẫu đơn đặt hàng trực tuyến thu thập những thông tin cá nhân từ khách hàng như địa chỉ, số điện thoại, số thẻ tín dụng hoặc các thông tin thanh toán khác

Trình duyệt của khách hàng tự động truyền cho máy chủ số phiên bản SSL của trình duyệt đó, các cài đặt mật mã, các dữ liệu được sinh ngẫu nhiên, và những thông tin khác mà máy chủ đó cần để giao tiếp với kháchhàng sử dụng SSL

Máy chủ trả lời, tự động truyền tới trình duyệt của người sử dụng xác nhận số của Website cùng với số phiên bản SSL của máy chủ, các thiết lập mật mã

Trình duyệt của người sử dụng xem xét các thông tin chứa trong xác nhậnmáy chủ đó và xác nhận rằng: Xác nhận máy chủ đó có giá trị và còn trong thời hạn sử dụng; Cơ quan chức năng xác thực CA cho máy chủ này có quyền được ký và là một cơ quan xác thực tin cậy, xác thực của cơquan này được liệt kê sẵn trong trình duyệt đang sử dụng; Khoá công cộng của CA này được cài đặt sẵn trong trình duyệt đang sử dụng, xác nhận tính hợp lệ của chữ ký điện tử của người cung cấp; Tên miền được chỉ định bằng xác thực máy chủ khớp với tên miền thực của máy chủ đó Nếu máy chủ này không được xác thực, người sử dụng sẽ được cảnh báo rằng một kết nối được mã hoá, được xác thực có thể không thiết lập được.Nếu máy chủ đó được xác thực thành công, trình duyệt Web của khách hàng này sẽ tạo ra một khoá phiên (session key) duy nhất để mã hoá tất cảcác giao tiếp với Website đó bằng việc sử dụng mã hoá không đối xứng.Trình duyệt của người sử dụng tự mã hoá khoá phiên đó bằng khoá công cộng của site sao cho chỉ site đó mới có thể đọc được khoá phiên đó, rồi

Trang 13

gửi nó tới máy chủ.

Máy chủ giải mã cho khoá phiên đó bằng việc sử dụng khoá cá nhân của chính nó

Trình duyệt gửi một thông điệp tới máy chủ thông báo cho máy chủ biết rằng các thông điệp tiếp sau đó từ khách hàng sẽ được mã hoá bằng khoá phiên đó

Máy chủ sau đó gửi một thông điệp tới khách hàng thông báo với khách hàng rằng các thông điệp tiếp sau từ máy chủ sẽ được mã hoá bằng khóa phiên đó

Một phiên giao dịch an toàn SSL bây giờ đã được thiết lập Giao thực máy chủ SSL sau đó sử dụng mã hoá đối xứng để mã hoá và giải mã thông điệp bên trong phiên giao dịch an toàn SSL này

Một phiên giao dịch kết thúc, khoá phiên sẽ được vô hiệu hoá

Tất cả quá trình trên diễn tự động trong vài giây, chính vì thế mà giao thức xác thực máy chủ SSL giúp cho các giao dịch điện tử này được thực hiện trực tuyến, an toàn; đồng thời nó cũng không gây ra bất cứ phiền toái nào cho người sử dụng, tạo điệu kiện cho việc mở rộng các ứng dụngTMĐT

cơ hội này để lấy hết thông tin khách hàng, thông tin kinh doanh của website và xa hơn, kẻ gian có thể ăn cắp thông tin trên thẻ tín dụng của khách để sử dụng bất hợp pháp

- VeriSign® là thương hiệu uy tín nhất trên toàn thế giới hiện nay trong lĩnh vực cung cấp chứng chỉ số Một website có gắn biểu tượng

"VeriSign Secured Seal" sẽ gia tăng mức độ tin cậy từ phía khách hàng

Trang 14

lên rất nhiều lần Tại thị trường Việt Nam, VeriSign Secured Seal là đơn

vị cung cấp các giải pháp bảo mật của VeriSign trong lĩnh vực cung cấp chứng chỉ số - chứng thực số với khả năng mã hóa dữ liệu tốt nhất và độ tin cậy cao nhất Chứng chỉ số SSL Server sẽ cho phép bạn lập cấu hình Website của mình theo giao thức bảo mật SSL (Secure Sockets Layer) Loại chứng chỉ số này sẽ cung cấp cho Website của bạn một định danh duy nhất nhằm đảm bảo với khách hàng của bạn về tính xác thực và tính hợp pháp của Website Chứng chỉ số SSL Server cũng cho phép trao đổi thông tin an toàn và bảo mật giữa Website với khách hàng, nhân viên và đối tác của bạn thông qua công nghệ SSL mà nổi bật là các tính năng:+ Thực hiện mua bán bằng thẻ tín dụng

+ Bảo vệ những thông tin cá nhân nhạy cảm của khách hàng

+ Đảm bảo hacker không thể dò tìm được mật khẩu

Giao thức SSL (Secured Socket Layer) và Chứng thực số là giải pháp bảo

vệ thông tin cá nhân của người dùng trong quá trình trao đổi dữ liệu trên môi trường mạng, đồng thời đảm bảo sự tin cậy của những thông tin trên website người dùng truy cập, từ đó xóa bỏ đi rào cản về nguy cơ lộ thông tin cá nhân, giúp người dùng yên tâm thực hiện các giao dịch trên mạng, giúp doanh nghiệp phát huy được hết các tiềm năng của website mình Giải pháp chứng thực SSLcủa Vsign

Trên cơ sở nghiên cứu nhu cầu của doanh nghiệp, của người sử dụng mạng, VSign cung cấp dịch vụ chứng thực SSL cho các doanh nghiệp kinh doanh thương mại điện tử

- Khi đăng ký sử dụng dịch vụ chứng thực số SSL VSign sẽ cấp cho khách hàng một chứng chỉ số SSL Mỗi chứng chỉ SSL chứa đựng thông tin của duy nhất một khách hàng mà danh tính của họ đã được xác thực

và một cặp khóa bao gồm một khóa bí mật và một khóa công khai Khóa công khai dùng để mã hóa dữ liệu và khóa bí mật dùng để giải mã thông tin.Khi Web browser truy cập đến phần dữ liệu đã được mã hóa, Client (web browser) sẽ phát sinh ra một Session Key ngẫu nhiên và yêu cầu Server gửi Chứng thực SSL Sau đó Client sẽ kiểm tra tính hợp lệ của Chứng thực SSL Nếu Chứng thực SSL của Server hợp lệ, Client sẽ mã hóa Session Key bằng Public Key Client gửi Session Key đã được mã hóa cho Server Sau đó, Server giải mã Session Key bằng Private Key

Do đó, các luồng thông tin được truyền giữa client và server được bảo đảm an toàn tuyệt đối

Trang 15

- Giao thức SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính

bí mật, an toàn và chống giả mạo luồng thông tin qua internet giữa hai ứng dụng bất kỳ Khi khách hàng truy cập vào website sử dụng dịch vụ chứng thực SSL của VSign thì trên thanh địa chỉ sẽ xuất hiện biểu tượng

ổ khóa SSL Click chuột vào biểu tượng ổ khóa, các thông tin về doanh nghiệp được VSign chứng thực sẽ hiện thị Nếu các thông tin không phù hợp với chứng chỉ, browser sẽ hiện thị thông báo lỗi hoặc một khuyến cáo để người dùng cảnh giác

- Trước khi cung cấp dịch vụ chứng thực SSL cho website, VSign sẽ tiến hành xác thực các thông tin sau:

+ Sự tồn tại của doanh nghiệp xin cấp chứng thực về mặt pháp lý

+ Định danh chính xác của doanh nghiệp xin cấp chứng thực và các thông tin liên quan (bao gồm địa chỉ, số điện thoại, )

+ Mã số đăng ký tại các cơ quan nhà nước (ví dụ số giấy phép đăng ký kinh doanh)

+ Quyền sử dụng tên miền

6.3.Giải pháp máy ảo chuyên dụng SSL.

Ứng dụng mạng riêng ảo sử dụng SSL (SSL VPN)

 SSL VPN có thể hiểu đơn giản là công nghệ kết nối mạng riêng ảo sử dụng các giao thức kết nối bảo mật và mã hoá thông tin, đảm bảo tính riêng biệt trên môi trường Internet chung

 Ứng dụng mạng riêng ảo sử dụng SSL cho phép người dùng truy cập

từ xa vào mạng lưới của công ty bất kỳ lúc nào, SSL hỗ trợ các trình duyệt web chuẩn như là IE, FireFox, Đối với người dùng là những vănphòng nhỏ hoặc những người sử dụng điện thoại để truy cập vào những ứng dụng nội bộ và chia sẽ tập tin nội bộ Vigor2930 cho phép chúng ta thiết lập tối đa 30 phiên SSL

 Ứng dụng mạng riêng ảo và tường lửa (VPN & Firewall)

 Cơ chế kiển soát trạng thái gói tin(SPI Firewall) có thể giúp bạn thiết lập các chính sách cho tường lửa của bạn dễ dàng, tính năng SCM chophép bạn kiểm soát truy cập một cách chính xác và hiệu quả hơn với các ứng dụng IM và P2P Bên cạnh đó với tính năng chống tấn công

từ chối dịch vụ(DoS / DDoS) và lọc các nội dung của trang web nhằm giảm thiểu các mối đe doạ từ bên trong và bên ngoài trang web

 Với việc hỗ trợ chipset mã hoá VPN bằng phần cứng ngay trên thiết

bị, Vigor2930VS hỗ trợ tối đa 100 VPN với các giao thức cao cấp như

Trang 16

IPSec / PPTP / L2TP / L2TP over IPSec with AES / DES / 3DES for encryption and MD5 / SHA-1 for authentication.

6.4.Ứng dụng SSL VPN dành cho ISP.

 Giải pháp SSL VPN SA 6000 SP cho phép các ISP cung cấp những giải pháp truy cập từ xa và truy cập extranet, dịch vụ phục hồi sau thảm họa và dịch vụ bảo mật LAN Intranet - VoIP WLAN tới các khách hàng doanh nghiệp trên toàn cầu Quan trọng hơn cả, đó là những giải pháp không đòi hỏi chi phí cao, nhưng vẫn đảm bảo công nghệ bảo mật hàng đầu và tính chuyên dụng của sản phẩm, đáp ứng nhu cầu của các doanh nghiệp vừa và nhỏ, vốn rất quan tâm tới chi phíđầu tư

 Khi ISP triển khai các dịch vụ SSL VPN này, những người dùng được cấp phép của khách hàng sử dụng dịch vụ đều có quyền truy cập bảo mật tới mọi tài nguyên mạng từ bất cứ một kết nối Internet và trình duyệt Web chuẩn nào, như máy tính cá nhân, máy tính xách tay và cácthiết bị di động Người dùng cuối không còn bị ràng buộc sử dụng các thiết bị cụ thể, cũng như không phải làm việc ở những vị trí cố định nào Không như các mạng riêng ảo IPSec trước kia, khách hàng của ISP không cần một máy khách (client) để có thể truy cập từ xa – cho phép tăng sự linh động và gia tăng hiệu suất khai thác hệ thống

 SSL VPN cũng sẽ là một trong những dịch vụ quan trọng giúp các ISP

đa dạng hoá sản phẩm của mình, khai thác tiềm năng rất lớn của dịch

vụ mạng bảo mật dành cho doanh nghiệp vừa và nhỏ

Trang 17

CHƯƠNG 2: CÁC GIAO THỨC BẢO MẬT SSL.

1 Cấu trúc của giao thức SSL.

Bảo mật cho dữ liệu truyền trên Internet ngày càng trở nên cần thiết do sốlượng cũng như mức độ quan trọng của các dữ liệu này ngày càng cao Ngàynay, người dùng Internet trao đổi rất nhiều loại thông tin trên mạng từ trao đổi thư điện tử thông thường đến các thông tin chi tiết trong thẻ tín dụng của mình, do đó họ muốn những dữ liệu đó phải được bảo mật khi truyền trên mạng công cộng Để làm được điều này người ta đã ứng dụng giao thức SSL

để bảo vệ các dữ liệu trong quá trình trao đổi giữa tất cả các dịch vụ mạng sửdụng TCP/IP để hỗ trợ các tác vụ truyền thông mạng giữa máy chủ và máy khách Giao thức SSL đầu tiên do Netscape phát triển, mục đích để bảo mật

dữ liệu gửi/nhận trên Internet của các giao thức thuộc lớp ứng dụng như HTTP, LDAP hay POP3 SSL sử dụng giao thức TCP để cung cấp các kết nối bền vững, bảo mật và được xác thực giữa các điểm cuối với nhau (ví dụ như giữa client và server) Mặc dù có thể sử dụng SSL để bảo vệ dữ liệu liênquan đến bất kỳ dịch vụ nào, nhưng SSL chủ yếu được dùng trong các ứng dụng HTTP (server và client) Ngày nay hầu hết các HTTP server đều hỗ trợ các phiên SSL, ở phía client các trình duyệt Internet Explorer và Netscape Navigator đều hỗ trợ SSL

Hình 2: SSL giữa các tầng ứng dụng và tầng TCP/IP

Trang 18

2 Các giao thức bảo mật SSL.

2.1.Giao thức bản ghi SSL Record Protocol.

SSL Record Protocol cung cấp 2 dịch vụ cho kết nối SSL:

 Confidentiality (tính bảo mật): Handshake Protocol định nghĩa 1 khóa bí mật được chia sẻ, khóa này được sử dụng cho mã hóa quy ước các dữ liệu SSL

 Message integrity (tính toàn vẹn):Handshake Protocol cũng định nghĩa 1 khóa bí mật được chia sẻ, khóa này được sử dụng để hình thành MAC (mã xác thực message)

Hình sau chỉ ra toàn bộ hoạt động của SSL Record Protocol.SSL Record Protocol nhận 1 message ứng dụng sắp được truyền đi,phân mảnh dữ liệu thành nhiều block,nén dữ liệu 1 cách tùy chọn,áp dụng vào 1 MAC,mã hóa,thêm vào header,và truyền khối kết quả thu được trong 1 segment TCP.Dữ liệu nhận đượcđược giải mã,kiểm tra ,giải nén,sắp xếp lại và phân phối đến người sử dụng ở lớp cao hơn

Bước đầu tiên là phân mảnh.Mỗi message của lớp bên trên được phân

mảnh thành các block ,mỗi block là 214byte (16384 bit) hoặc ít hơn

Tiếp theo,nén được áp dụng 1 cách tùy chọn.Nén phải là không mất

mát thông tin và có thể không làm tăng chiều dài nội dung nhiều hơn

1024 byte (Dĩ nhiên,người ta mong muốn nén làm co lại dữ liệu hơn là

Ngày đăng: 08/11/2017, 06:24

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w