WLAN hiện nay có ba phương thức chứng thực phổ biến là: • Open authentication • Shared authentication • EAP (Extensible Authentication Protocol) authentication Open authentication là phương thức chứng thực đơn giản nhất được sử dụng mà chỉ cần yêu cầu người dùng biết được ServiceSet Identifier (SSID) của mạng. SSID là một chuỗi ký tự độc nhất định danh một WLAN (hiểu nôm na là tên mạng). Để thực hiện việc chứng thực, SSID của thiết bị đầu cuối người dùng phải khớp với SSID của điểm truy cập không dây – AccessPoint (AP). Quá trình chứng thực được thực hiện qua ba bước. Đầu tiên, thiết bị người dùng gửi một yêu cầu chứng thực tới AP. Sau đó, AP sẽ tạo ra một mã xác thực, thường là ngẫu nhiên, dành cho thiết bị trong phiên đó. Cuối cùng, thiết bị chấp nhận mã xác thực và được truy cập vào mạng. Phiên làm việc của thiết bị sẽ được duy trì miễn là người dùng vẫn ở trong vùng phủ sóng của AP. Vấn đề của phương thức này là SSID thường được broadcast, hoặc nếu được ẩn đi thì nó vẫn dễ dàng bị tìm ra bằng những kỹ thuật bắt gói tin. 1 Shared authentication là phương thức chứng thực WLAN được sử dụng phổ biến bởi những người dùng cá nhân hoặc doanh nghiệp nhỏ. Phương thức này sử dụng một khóa chia sẻ – PreShared Key (PSK) được trao cho cả hai bên kết nối. PSK là một khóa mã hóa bằng WEP (sẽ được nói rõ trong phần sau). PSK của thiết bị kết nối phải trùng khớp với PSK lưu trữ ở AP. Để bắt đầu quá trình kết nối, thiết bị gửi một yêu cầu chứng thực đến AP. AP đáp ứng yêu cầu bằng cách tạo ra một chuỗi các ký tự gọi là văn bản kiểm tra (challenge text) gửi về thiết bị. Thiết bị sẽ phải mã hóa văn bản này với PSK và sau đó gửi lại thông điệp đã được mã hóa cho AP. AP, ngược lại, sẽ dùng PSK để giải mã thông điệp vừa nhận được và so sánh kết quả với văn bản gốc. Nếu không có sự khác biệt, AP sẽ gửi mã xác thực cho thiết bị. Cuối cùng, thiết bị chấp nhận mã xác thực và kết nối được thiết lập. Ngược lại, nếu văn bản được giải mã không trùng khớp với văn bản ban đầu, AP sẽ không cho phép thiết bị truy cập vào mạng. 2 EAP authentication là phương thức chứng thực sử dụng giao thức xác thực mở rộng –Extensible Authentication Protocol (EAP). EAP không phải là một cách chứng thực cụ thể nào mà là một giao thức hỗ trợ nhiều cơ chế chứng thực của kết nối sử dụng PointtoPoint Protocol (PPP). Các cơ chế chứng thực cóthể kể đến như token cards, Kerberos, onetime passwords, certificates, public key authentication và smart cards. Thiết bị muốn kết nối vào WLAN sẽ gửi một yêu cầu kết nối thông qua AP. AP, sau đó, sẽ yêu cầu dữ liệu nhận dạng người dùng (ID) từ thiết bị và chuyển nó đến một máy chủ chứng thực (ví dụ như RADIUS). Máy chủ sẽ yêu cầu AP xác thực tính hợp lệ của ID. AP sẽ lấy những thông tin xác minh này từ thiết bị và gửi lại cho máy chủ để hoàn tất việc chứng thực. Nếu chứng thực thành công, người dùng sẽ được phép truy cập vào mạng.3 Các phương thức mã hóa WLAN có thể kể đến là: • Wired Equivalent Privacy (WEP) • WiFi Protected Access (WPA) • WiFi Protected Access 2 (WPA2) Wired Equivalent Privacy (WEP) là một thuật toán bảo mật của chuẩn WLAN đầu tiên được sử dụng rộng rãi 802.11. WEP sử dụng RC4 để mã hóa. WEP là thuật toán mã hóa luồng sử dụng vector khởi tạo 24bit và 10 hoặc 26 ký tự hexa để tạo ra khóa 64bit hoặc 128bit. Vì là mã hóa luồng nên một khóa không bao giờ được sử dụng hai lần. Mục đích của vector khởi tạo, được truyền đi dưới dạng bản rõ, là để đảm bảo việc không có bất kì sự lặp lại nào. Nhưng 24bit cho một vector khởi tạo là không đủ dài để đảm bảo điều đó. Sau 5000 gói tin khả năng trùng lặp của vector khởi tạo là 50%, đặt thuật toán này vào nguy cơ Related Key Attack. Mặc dù sau này WEP đã được cải tiến nhiều và kích thước ký tự cũng tăng lên nhưng nó vẫn bộc lộ nhiều lỗ hổng nghiêm trọng. Theo WiFi Alliance, WEP không bao giờ nên được sử dụng như một cơ chế bảo mật duy nhất cho WLAN và nếu kết hợp với các cách bảo mật truyền thống thì cũng khá hiệu quả. 4 WiFi Protected Access (WPA) là chuẩn bảo mật cải tiến và được hy vọng sẽ thay thế WEP bởi những điểm yếu không thể khắc phục được của phương thức này. WPA cung cấp việc mã hóa dữ liệu và chứng thực người dùng phức tạp hơn nhiều so với WEP. Cách WPA mã hóa là sử dụng Temporal Key Integrity Protocol (TKIP). TKIP khắc phục được điểm yếu của WEP. Đầu tiên là nhờ việc trộn lẫn khóa gốc và vector khởi tạo, thay vì chỉ đơn thuần nối hai chuỗi lại như WEP, trước khi mã hóa bằng RC4. Thứ hai, WPA triển khai truy cập tuần tự để tránh Replay Attack. Gói tin không đúng thứ tự sẽ bị AP từ chối. Thứ ba, TKIP dùng 64bit Message Integrity Check và cung cấp cơ chế rekeying đảm bảo gói dữ liệu gửi đi với một khóa độc nhất. Tuy nhiên vì TKIP cũng sử dụng cơ chế cơ bản giống như WEP nên vẫn xảy ra những cuộc tấn công tương tự như WEP. 5 WiFi Protected Access 2 (WPA2) 6 là phương thức thay thế cho WPA, được định nghĩa và triển khai như chuẩn 802.11i. WPA2 sử dụng Cipher Block Chaining Message Authentication Code Protocol (CCMP) 7 để mã hóa thay vì TKIP8. CCMP là thuật toán mã hóa dựa trên AES vì vậy nhiều khi phương thức mã hóa của WPA2 được xem như là AES. AES là thuật toán mã hóa khối, mã hóa và giải mã từng khối dữ liệu 128bit với khóa có độ dài 128bit, 192bit hoặc 256bit. Và tính đến hiện tại thì chưa có một cách nào dễ dàng để phá hủy AES. Chứng thực mã hóa trong WLAN (authentication and encryption in WLAN)Chứng thực mã hóa trong WLAN (authentication and encryption in WLAN) Chứng thực mã hóa trong WLAN (authentication and encryption in WLAN) Chứng thực mã hóa trong WLAN (authentication and encryption in WLAN) Chứng thực mã hóa trong WLAN (authentication and encryption in WLAN)
Khoa Mạng máy tính Truyền thơng TÌM HIỂU VỀ PHƯƠNG PHÁP MÃ HĨA CHỨNG THỰC TRONG MẠNG KHƠNG DÂY Trước hết phải xác định việc chứng thực mạng khơng dây việc mã hóa dòng liệu lưu thơng hai khái niệm hồn tồn khác biệt Trên thực tế , ta thực chứng thực vào mạng mà không cần phải truyền liệu mã hóa I Chứng thực mạng khơng dây WLAN có ba phương thức chứng thực phổ biến là: Open authentication Shared authentication EAP (Extensible Authentication Protocol) authentication - Open authentication phương thức chứng thực đơn giản sử dụng mà cần yêu cầu người dùng biết Service-Set Identifier (SSID) mạng SSID chuỗi ký tự độc định danh WLAN (hiểu nôm na tên mạng) Để thực việc chứng thực, SSID thiết bị đầu cuối người dùng phải khớp với SSID điểm truy cập không dây – AccessPoint (AP) Quá trình chứng thực thực qua ba bước Đầu tiên, thiết bị người dùng gửi yêu cầu chứng thực tới AP Sau đó, AP tạo mã xác thực, thường ngẫu nhiên, dành cho thiết bị phiên Cuối cùng, thiết bị chấp nhận mã xác thực truy cập vào mạng Phiên làm việc thiết bị trì miễn người dùng vùng phủ sóng AP Vấn đề phương thức SSID thường broadcast, ẩn dễ dàng bị tìm kỹ thuật bắt gói tin [1] - Shared authentication phương thức chứng thực WLAN sử dụng phổ biến người dùng cá nhân doanh nghiệp nhỏ Phương thức sử dụng khóa chia sẻ – PreShared Key (PSK) trao cho hai bên kết nối PSK khóa mã hóa WEP (sẽ nói rõ phần sau) PSK thiết bị kết nối phải trùng khớp với PSK lưu trữ AP Để bắt đầu trình kết nối, thiết bị gửi yêu cầu chứng thực đến AP AP đáp ứng yêu cầu cách tạo chuỗi ký tự gọi văn kiểm tra (challenge text) gửi thiết bị Thiết bị phải mã hóa văn với PSK sau gửi lại thơng điệp mã hóa cho AP AP, ngược lại, dùng PSK để giải mã thông điệp vừa nhận so sánh kết với văn gốc Nếu khác biệt, AP gửi mã xác thực cho thiết bị Cuối cùng, thiết bị chấp nhận mã xác thực kết nối thiết lập Ngược lại, văn giải mã không trùng khớp với văn ban đầu, AP không cho phép thiết bị truy cập vào mạng [2] - EAP authentication phương thức chứng thực sử dụng giao thức xác thực mở rộng –Extensible Authentication Protocol (EAP) EAP cách chứng thực cụ thể mà giao thức hỗ trợ nhiều chế chứng thực kết nối sử dụng Point-to-Point Protocol (PPP) Các chế chứng thực cóthể kể đến token cards, Kerberos, one-time passwords, certificates, public key authentication smart cards Thiết bị muốn kết nối vào WLAN gửi yêu cầu kết nối thơng qua AP AP, sau đó, u cầu liệu nhận dạng người dùng (ID) từ thiết bị chuyển đến máy chủ chứng thực (ví dụ RADIUS) Máy chủ yêu cầu AP xác thực tính hợp lệ ID AP lấy thông tin xác minh từ thiết bị gửi lại cho máy chủ để hoàn tất việc chứng thực Nếu chứng thực thành công, người dùng phép truy cập vào mạng.[3] II Mã hóa mạng khơng dây Các phương thức mã hóa WLAN kể đến là: Wired Equivalent Privacy (WEP) Wi-Fi Protected Access (WPA) Wi-Fi Protected Access (WPA2) - Wired Equivalent Privacy (WEP) thuật toán bảo mật chuẩn WLAN sử dụng rộng rãi 802.11 WEP sử dụng RC4 để mã hóa WEP thuật tốn mã hóa luồng sử dụng vector khởi tạo 24-bit 10 26 ký tự hexa để tạo khóa 64-bit 128-bit Vì mã hóa luồng - nên khóa khơng sử dụng hai lần Mục đích vector khởi tạo, truyền dạng rõ, để đảm bảo việc khơng có lặp lại Nhưng 24-bit cho vector khởi tạo không đủ dài để đảm bảo điều Sau 5000 gói tin khả trùng lặp vector khởi tạo 50%, đặt thuật toán vào nguy Related Key Attack Mặc dù sau WEP cải tiến nhiều kích thước ký tự tăng lên bộc lộ nhiều lỗ hổng nghiêm trọng Theo Wi-Fi Alliance, WEP không nên sử dụng chế bảo mật cho WLAN kết hợp với cách bảo mật truyền thống hiệu [4] - Wi-Fi Protected Access (WPA) chuẩn bảo mật cải tiến hy vọng thay WEP điểm yếu khắc phục phương thức WPA cung cấp việc mã hóa liệu chứng thực người dùng phức tạp nhiều so với WEP Cách WPA mã hóa sử dụng Temporal Key Integrity Protocol (TKIP) TKIP khắc phục điểm yếu WEP Đầu tiên nhờ việc trộn lẫn khóa gốc vector khởi tạo, thay đơn nối hai chuỗi lại WEP, trước mã hóa RC4 Thứ hai, WPA triển khai truy cập để tránh Replay Attack Gói tin không thứ tự bị AP từ chối Thứ ba, TKIP dùng 64-bit Message Integrity Check cung cấp chế re-keying đảm bảo gói liệu gửi với khóa độc Tuy nhiên TKIP sử dụng chế giống WEP nên xảy công tương tự WEP [5] - Wi-Fi Protected Access (WPA2) [6] phương thức thay cho WPA, định nghĩa triển khai chuẩn 802.11i WPA2 sử dụng Cipher Block Chaining Message Authentication Code Protocol (CCMP) [7] để mã hóa thay TKIP[8] CCMP thuật tốn mã hóa dựa AES nhiều phương thức mã hóa WPA2 xem AES AES thuật tốn mã hóa khối, mã hóa giải mã khối liệu 128-bit với khóa có độ dài 128-bit, 192-bit 256-bit Và tính đến chưa có cách dễ dàng để phá hủy AES III 80211-WEPauth: Chứng thực wifi với WEP Các phương pháp chứng thực WEP: Open System Authentication: Không cần khóa WEP o Client gửi thơng điệp u cầu chứng thực trong có địa MAC Client o Access Point(AP) gửi lại thông điệp xác nhận có thành cơng hay khơng.(địa MAC client phép truy cập AP lưu AP) – kẻ cơng bắt gói tin client lấy địa MAC Shared Key Authentication: o Client gửi yêu cầu chứng thực cho AP o AP gửi lại challenge text (1 chuỗi bit ngẫu nhiên để thử thách client) cho Client o Client mã hóa challenge text với key WEP, gửi trả lại AP (encrypted text) o AP giải mã encrypted text mã hóa với challenge text gửi trả lời có hợp lệ hay khơng [8] Quá trình chứng thực với phương pháp Shared Key Authentication Đầu tiên Client gửi yêu cầu chứng thực tới AP(Access Point) AP xác nhận gửi challenge text cho Client Client mã hóa challenge text với key WEP, gửi trả lại AP (encrypted text) Hình AP giải mã encrypted text mã hóa với challenge text gửi trả lời có hợp lệ hay không Sau chứng thực hợp lệ, Client tiến thiếp lập kết nối đến AP truyền liệu Plain text ICV XOR IV WEP Key 24 bits 104 bits RC4 Key Stream 128 bits IV Plain text ICV Encrypted text XOR IV WEP Key RC4 Key Stream Plain text ICV Q trình mã hóa WEP : Tính ICV (Checksum CRC-32bit) cho liệu cần mã hóa(challenge text), thêm ICV vào cuối challenge text [Plaintext + ICV] Tạo IV(24 bits) với WEP key tạo Keystream với thuật tốn RC4(PRNG: psendo-random number generator) có kích thước challenge text (128 bits) XOR Keystream với [Plaintext + ICV] tạo thành [Plaintext + ICV]excrypted Tạo 802.11 Frame payload = IV + Other + [Plaintext + ICV]excrypted (Hình 1) Nguyên lý crack WEP Do WEP sử dụng khóa tĩnh q trình chứng thực, mã hóa giải mã thơng điệp, khóa WEP không thay đổi theo thời gian, theo phiên làm việc người cơng cần bắt gói tin phân tích chúng lấy khóa WEP a Với E(A), E(B) thơng điệp mã hóa A, B thơng điệp cần gửi C(K) Streamcipher, K khóa WEP i E(A) = A XOR C(K) ii E(B) = B XOR C(K) iii E(A) XOR E(B) = A XOR B b Sử dụng IV(24 bits) tạo IV khác khau kết hợp với WEP để thông điệp giống gửi hai thời điểm khác có chuỗi mã hóa khác Nhưng IV có 24bits, tức khả cao IV lặp lại sau 5000 gói tin IV gửi khơng mã hóa, với hai thơng điệp mã hóa với IV giống nhau, lấy key stream ICV để bảo đảm tính tồn vẹn cho nội dung thơng điệp truyền với thuật toán Checksum CRC-32 IV wpa-Induction.pcap: Chứng thực wifi với WAP Các phương pháp chứng thực WAP: Open System Authentication: a Client gửi thông điệp yêu cầu chứng thực trong có địa MAC Client b Access Point gửi lại thông điệp xác nhận có thành cơng hay khơng 802.1x Authentication: a WPA-Personal: gọi chế độ (pre-shared key) WPA-PSK, điều thiết kế cho mạng gia đình văn phòng nhỏ khơng u cầu máy chủ xác thực Mỗi thiết bị mạng khơng dây mã hóa lưu lượng mạng cách sử dụng khóa 256 bit Chìa khóa nhập vào chuỗi 64 chữ số thập lục phân, cụm từ mật 8-63 ký tự ASCII b WPA-Enterprise: gọi chế độ WPA-802.1X(WPA-PSK), thiết kế cho mạng doanh nghiệp yêu cầu máy chủ xác thực RADIUS Điều đòi hỏi thiết lập phức tạp hơn, cung cấp thêm bảo mật, Extensible Authentication Protocol (EAP) sử dụng để xác thực chế độ WPA-Enterprise có sẵn với WPA WPA2 c Wi-Fi Protected Setup: phương pháp xác thực key phân phối nhằm đơn giản hóa tăng cường trình, mà triển khai rộng rãi, tạo lỗ hổng bảo mật lớn thơng qua phục hồi WPS PIN [9] Q trình mã hóa WPA(cho gói liệu Unicast) IV: tăng dần, frame có IV khác (IV có chiều dài 48 bits) Khóa mã hóa liệu, địa nhận (DA: Destination Address), địa gửi SA(SA: Source Address), giá trị Priority, khóa tồn vẹn [IV, DA, Data Encryption Key] Tạo Key mixing (Per-packet encryption key) [DA, SA, Priority, Data(chưa mã hóa), Data Integrity Key] với thuật toán Michael MIC(Message Integrity Check) [IV, Per-packet encryption key] kết hợp với RC4 Tạo Key stream Keystream XOR với [Data + MIC + ICV] tạo với [Data + MIC + ICV]encrypted Tạo 802.11 Frame payload = IV + Other + Ext IV + [Data + MIC + ICV]encrypted Phương thức mã hóa Caesar cipher: + Giới thiệu :[1] Trong mật mã học, mật mã Caesar (Xê da), gọi mật mã dịch chuyển, mật mã đơn giản biết đến nhiều Mật mã dạng mật mã thay thế, ký tự văn thay ký tự cách đoạn bảng chữ để tạo thành mã + Phương pháp đặt tên theo Caesar, vị hoàng đế sử dụng thường xun cơng việc.Bước mã hóa mã Caesar thường kết hợp với mã phức tạp hơn, ví dụ mật mã Vigenère, dùng ứng dụng hiên đại ROT13 Cũng mật mã thay dùng bảng mã khác, mã Caesar dễ dàng bị phá vỡ khơng đáp ứng u cầu an tồn thơng tin truyền thơng + Mật mã thực số học mô đun Đầu tiên ta chuyển đổi chữ sang số, A = 0, B = 1, B = 2, D = 3, Z = 25 Mã hóa ký tự x cách dịch chuyển đoạn n mơ tả cơng thức tốn học đây: En(x) = (x + n) mod 26 Và giải mã: Dn(x) = (x - n) mod 26 VD: Ta có văn : LOP AN TOAN MANG với khóa mã Bảng chữ thường : ABCDEFGHIJKLMNOPQRSTUVWXYZ Bảng chữ mật mã: FGHIJKLMNOPQRSTUVWXYZABCDE Văn mã hóa: QTU FS YTFS RFSL + Phá mã : Giải mã phương pháp brute-force (tấn công vét cạn) - Do số lượng khóa nhỏ - Áp dụng trường hợp mã ngắn (phương pháp phân tích tần số khơng hiệu quả) Giải mã phương pháp phân tích tần số (frequency analysis) - Do dạng bảng mã chữ - Áp dụng trường hợp mã dài Mã hóa thay đơn bảng (Monoalphabetic Substitution Cipher): [2] + Mã hóa : Việc mã hóa tiến hành cách thay chữ rõ thành chữ mã, nên phương pháp gọi phương pháp thay Số lượng hoán vị 26 chữ 26!, số lượng khóa phương pháp Vì 26! số lớn nên việc cơng phá mã vét cạn khóa bất khả thi (6400 thiên niên kỷ với tốc độ thử khóa 109 khóa/giây) + Giải mã: Trong ngôn ngữ tiếng Anh, tần suất sử dụng chữ không nhau, chữ E sử dụng nhiều nhất, chữ sử dụng thường Z, Q, J Tương tự 18 cụm chữ (digram), cụm chữ TH sử dụng nhiều Bảng sau thống kê tần suất sử dụng chữ cái, cụm chữ, cụm chữ (trigram) tiếng Anh: - Phương pháp mã hóa đơn bảng ánh xạ chữ rõ thành chữ khác mã Do chữ mã tuân theo luật phân bố tần suất Nếu chữ E thay chữ K tần suất xuất chữ K mã 13.05% Đây sở để thực phá mã.Ví dụ: Ta có mã sau: YMFYNXFQJRTSYWJJYMJDQNPJNY Số lần xuất chữ là: A: B:0 C:0 F:2 G:0 H:0 K:0 L:0 M:2 P:1 Q:2 R:1 U:0 V:0 W:1 Z:0 D:1 I:0 N:3 S:1 X:1 E:0 J:5 O:0 T:1 Y:5 Số lần xuất digram (xuất từ lần trở lên) là: YM :2 Do ta đốn J(J Y có khả e xác xuất e đứng đầu câu nhỏ nên suy đoán J E Y T) mã hóa e, Y mã hóa t Vì TH có tần suất cao digram nên digram nên đoánYM th Chú ý tới cụm YMFY, giả thiết chữ thuộc từ từ có dạng th_t, từ kết luận F mã hóa a (vì từ THAT có tần suất xuất cao) Như đến bước này, ta phá mã sau: YMFYNXFQJRTSYWJJYMJDQNPJNY THAT A E TREETHE E T Tiếp theo O có xác xuất xuất 8.21% N xuất cao thứ sau J Y nên đốn O mã hóa N phá mã ta sau: YMFYNXFQJRTSYWJJYMJDQNPJNY THAT O A E TREETHE O EOT Mà EOT tiếng anh khơng ghép thành từ có nghĩa nên O mã hóa cho N bất khả thi , ta tiếp tục: I có xác xuất xuất 6.77% (sau E T O A mà kí tự có kí tự mã hóa )và N xuất cao thứ sau J Y nên đốn I mã hóa N phá mã ta sau: YMFYNXFQJRTSYWJJYMJDQNPJNY THAT I A E TREETHE I EIT Vì IN có tần suất cao Là nên đốn NX IN câu không hợp lý ,sau tra bảng thấy IS có tần suất cao nên đốn NX IS phá mã ta sau: YMFYNXFQJRTSYWJJYMJDQNPJNY THAT IS A E TREETHE I EIT Cứ tiếp tục vậy, dĩ nhiên việc thử lúc suôn sẻ, có lúc phải thử sai nhiều lần Cuối ta có giải mã sau tách từ sau: THAT IS A LEMON TREE THEY LIKE IT Câu hỏi slide chương page 21 Tổng quan khái niệm: - Checksum: kiện kích thước nhỏ từ khối liệu số cho mục đích phát lỗi sai sót q trình truyền thơng qua mạng lưu trữ Được dùng để kiểm tra tính tồn vẹn liệu, khơng dựa vào để xác minh tính xác thực liệu Dữ liệu đầu vào với hàm checksum hay thuật tốn checksum, tính tốn đưa giá trị checksum Với thuật toán tốt cho giá trị khác liệu thay đổi chút Điều đặc biệt với hàm băm, sử dụng để phát lỗi hỏng liệu cho phép nơi nhận gói liệu dùng số để so sánh với checksum mà tự tính tốn gói liệu để xét tính tồn vẹn tổng thể liệu, kiểm tra tính tốn cho liệu đầu vào phù hợp với giá trị checksum ban đầu khả cao liệu chưa vơ tình thay - đổi bị hỏng [3] Số kiểm tra bit chẵn lẻ trường hợp đặc biệt checksum, thích hợp cho khối liệu nhỏ Một số thuật toán checksum: Parity byte or - parity word, Modular sum, Position-dependent checksums(Adler-32, CRC) Digital signature: Chữ kí số chế tốn học để chứng minh tính xác thực thơng điệp số: văn bản, hình ảnh, video, tài liệu, … truyền qua mạng lưới truyền thông Một chữ kí số hợp lệ giúp người nhận tin thơng điệp nhận người gửi, mà người gửi phủ nhận gửi thông điệp liệu khơng bị thay đổi q trình gửi(tính tồn vẹn) [4] - Chữ kí số yếu tố tiêu chuẩn hầu hết giao thức mã hóa, thường sử dụng cho: phân phối phần mềm, giao dịch tài chính, … quan trọng - nhằm để phát giả mạo xáo trộn liệu MAC(Message authentication code): Mã xác thực thông điệp đoạn thông tin ngắn dùng để xác thực thơng điệp, xác nhận thơng điệp xác - từ người gửi không bị thay đổi trình truyền(tính tồn vẹn) Một thuật tốn MAC, đơi gọi khóa (mật mã) hàm băm (tuy nhiên, hàm băm mật mã cách tạo MAC), đầu vào khóa bí mật thơng điệp cần chứng thực, đầu MAC (đôi biết đến thẻ) Giá trị MAC bảo vệ toàn vẹn liệu thơng điệp tính xác thực nó, cách cho phép người sở hữu khóa bí mật kiểm tra để phát thay đổi nội dung thông điệp [5] Khác biệt: Xem xét mục tiêu bảo mật: integrity(tính tồn vẹn), authentication(tính xác thực), non-repudiation (tính khơng thể phủ nhận) keys [6] - Integrity(tính tồn vẹn): Người nhận tin tưởng văn không bị sửa - đổi truyền Authentication(tính xác thực): Người nhận tin tưởng thơng điệp có - nguồn gốc từ người gởi Non-repudiation (tính khơng thể phủ nhận): Người nhận tin tưởng thơng điệp từ người gửi nhất, bên thứ ba Integrity Authentication Non-repudiation Keys Checksum(Hash) Có Khơng Khơng Khơng MAC Có Có Khơng Key đối xứng Digital Signature Có Có Có Key bất đối xứng(public secret key) Sự khác biệt checksum(giá trị tổng kiểm) digital signature (chữ kí số): - Checksum khơng hỗ trợ tính xác thực: giá trị checksum gắn vào thơng điệp, với mục đích nhằm phát thay đổi thông điệp Nếu người cơng bắt thơng điệp, dễ dàng thay đổi thơng điệp, tính tốn lại giá trị checksum gắn lại vào thông điệp => không đảm báo tính xác thực chắn thơng điệp từ người gửi khơng có tính khơng thể phủ nhận Trong digital signature(chữ kí số) có hỗ trợ điều với việc sử dụng thuật tốn mã hóa bất đối xứng cho thơng điệp gửi đi(chỉ có bên nhận giả mã thơng điệp với secret key riêng mình, tin thơng điệp từ bên gửi gửi qua) Sự khác biệt MAC(mã xác thực thông điệp) digital signature (chữ kí số): - MAC khác biệt với digital signature MAC sử dụng secret key giống cho bên gửi bên nhận thuật toán mã hóa đối xứng Do MAC khơng xác thực tính khơng thể phủ nhận trường hợp người nhận có secret key xác thực MAC thơng điệp có khả tạo MAC cho thơng điệp khác Còn với digital signature người nhận có secret key riêng, có public key chia sẻ mạng nên chắn thông điệp mã hóa với secret key người gửi Tài liệu tham khảo: [1], [9] Searchsecurity.Techtarget Open System Authentication (OSA) [Online] Available: http://searchsecurity.techtarget.com/definition/Open-System-Authentication-OSA [2] Searchsecurity.Techtarget Shared Key Authentication (SKA) [Online] Available: http://searchsecurity.techtarget.com/definition/Shared-Key-Authentication-SKA [3] Ietf PPP Extensible Authentication Protocol (EAP) [Online] Available: https://www.ietf.org/rfc/rfc2284.txt [4] Wikipedia PPP Wired Equivalent Privacy [Online] Available: https://en.wikipedia.org/wiki/Wired_Equivalent_Privacy [5] [6] Wikipedia Wi-Fi Protected Access [Online] Available: https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access [7] Wikipedia CCMP [Online] Available: https://en.wikipedia.org/wiki/CCMP [8] Wikipedia Temporal Key Integrity Protocol [Online] Available: https://en.wikipedia.org/wiki/Temporal_Key_Integrity_Protocol [9] 123doc Đồ án tìm hiểu bảo mật WLAN,WEP,WPA,WPA2 [Online] Available: http://123doc.org/document/2415741-do-an-tim-hieu-ve-bao-mat-wlan-wep-wpawpa2.htm Practical Packet Analysis – Chris Sanders ... Protocol (CCMP) [7] để mã hóa thay TKIP[8] CCMP thuật tốn mã hóa dựa AES nhiều phương thức mã hóa WPA2 xem AES AES thuật tốn mã hóa khối, mã hóa giải mã khối liệu 128-bit với khóa có độ dài 128-bit,... chuẩn WLAN sử dụng rộng rãi 802.11 WEP sử dụng RC4 để mã hóa WEP thuật tốn mã hóa luồng sử dụng vector khởi tạo 24-bit 10 26 ký tự hexa để tạo khóa 64-bit 128-bit Vì mã hóa luồng - nên khóa khơng... lại cho máy chủ để hoàn tất việc chứng thực Nếu chứng thực thành công, người dùng phép truy cập vào mạng.[3] II Mã hóa mạng khơng dây Các phương thức mã hóa WLAN kể đến là: Wired Equivalent