Đang tải... (xem toàn văn)
Chương 8 trang bị cho người học những hiểu biết về về mã hóa đối xứng trong an toàn Web. Các nội dung chính được đề cập trong chương này gồm có: Hai kỹ thuật mã hóa, một số cách phân loại khác, mã hóa bất đối xứng, mô hình hệ mã hóa đối xứng,...và một số nội dung khác.
CHƯƠNG MÃ HÓA ĐỐI XỨNG Hai kỹ thuật mã hóa • Mã hóa đối xứng – Bên gửi bên nhận dùng chung khóa – Còn gọi mã hóa khóa đơn/khóa riêng/khóa bí mật – Có từ năm 1970, dùng • Mã hóa khóa công khai (bất đối xứng) – Mỗi bên sử dụng cặp khóa gồm: khóa cơng khai khóa riêng – Cơng bố thức năm 1976 Trần Bá Nhiệm An ninh Mạng Một số cách phân loại khác • Theo phương thức xử lý – Mã hóa khối: lần xử lý khối văn tạo khối mã tương ứng (64 128 bit) – Mã hóa luồng: xử lý cho liệu đầu vào liên tục • Theo phương thức chuyển đổi – Mã hóa thay thế: chuyển phần tử nguyên thành phần tử mã tương ứng – Mã hóa hốn vị: bố trí lại phần tử ngun Trần Bá Nhiệm An ninh Mạng Mã hóa đối xứng Trần Bá Nhiệm An ninh Mạng Mã hóa bất đối xứng Trần Bá Nhiệm An ninh Mạng Một số cách phân loại khác • Theo phương thức xử lý – Mã hóa khối • Mỗi lần xử lý khối nguyên tạo khối mã tương ứng (chẳng hạn 64 hay 128 bit) – Mã hóa luồng • Xử lý liệu đầu vào liên tục (chẳng hạn lần bit) • Theo phương thức chuyển đổi – Mã hóa thay • Chuyển đổi phần tử nguyên thành phần tử mã tương ứng – Mã hóa hốn vị • Bố trí lại vị trí phần tử nguyên Trần Bá Nhiệm An ninh Mạng Mơ hình hệ mã hóa đối xứng Khóa bí mật dùng chung bên gửi bên nhận Khóa bí mật dùng chung bên gửi bên nhận Bản mã truyền Nguyên đầu vào Trần Bá Nhiệm Giải thuật mã hóa Giải thuật giải mã Mã hóa Giải mã Y = EK(X) X = DK(Y) An ninh Mạng Ngun đầu Mơ hình hệ mã hóa đối xứng • Gồm có thành phần – – – – – Nguyên Giải thuật mã hóa Khóa bí mật Bản mã Giải thuật giải mã • An ninh phụ thuộc vào bí mật khóa, khơng phụ thuộc vào bí mật giải thuật Trần Bá Nhiệm An ninh Mạng Phá mã • Là nỗ lực giải mã văn mã hóa khơng biết trước khóa bí mật • Có hai phương pháp phá mã – Vét cạn • Thử tất khóa – Thám mã • Khai thác nhược điểm giải thuật • Dựa đặc trưng chung nguyên số cặp nguyên - mã mẫu Trần Bá Nhiệm An ninh Mạng Phương pháp phá mã vét cạn • Về lý thuyết thử tất giá trị khóa tìm thấy ngun từ mã • Dựa giả thiết nhận biết ngun cần tìm • Tính trung bình cần thử nửa tổng số trường hợp • Thực tế khơng khả độ dài khóa lớn Trần Bá Nhiệm An ninh Mạng 10 Mã hóa CFB CM-1 IV Thanh ghi dịch 64-s bit | s bit Thanh ghi dịch 64-s bit | s bit 64 Mã hóa K 64 Mã hóa K 64 p1 Chọn s bit Bỏ 64-s bit s s Thanh ghi dịch 64-s bit | s bit 64 Mã hóa K 64 Chọn s bit p2 Bỏ 64-s bit s s 64 Chọn s bit pM s Bỏ 64-s bit s s C1 Trần Bá Nhiệm C2 CM An ninh Mạng 53 Giải mã CFB CM-1 IV Thanh ghi dịch 64-s bit | s bit Thanh ghi dịch 64-s bit | s bit 64 K Mã hóa 64 Chọn s bit s 64 K Mã hóa Chọn s bit Trần Bá Nhiệm K Mã hóa s s 64 Chọn s bit Bỏ 64-s bit s s C1 p1 64 64 s Bỏ 64-s bit Thanh ghi dịch 64-s bit | s bit C2 Bỏ 64-s bit s CM pM p2 An ninh Mạng 54 Đánh giá CFB • Thích hợp liệu nhận theo đơn vị bit hay byte • Khơng cần độn thơng báo để làm tròn khối • Cho phép số lượng bit – Ký hiệu CFB-1, CFB-8, CFB-64, • Là phương thức luồng phổ biến • Dùng giải thuật mã hóa giải mã • Lỗi xảy truyền khối mã hóa lan rộng sang khối tiếp sau Trần Bá Nhiệm An ninh Mạng 55 Mã hóa OFB OM-1 IV Thanh ghi dịch 64-s bit | s bit Thanh ghi dịch 64-s bit | s bit 64 Mã hóa K 64 Mã hóa K 64 Chọn s bit p1 s C1 Trần Bá Nhiệm Chọn s bit p2 s 64 Mã hóa K 64 Bỏ 64-s bit s Thanh ghi dịch 64-s bit | s bit 64 Chọn s bit Bỏ 64-s bit s pM s Bỏ 64-s bit s s C2 CM An ninh Mạng 56 Giải mã OFB OM-1 IV Thanh ghi dịch 64-s bit | s bit Thanh ghi dịch 64-s bit | s bit 64 K 64 Mã hóa K 64 Chọn s bit Thanh ghi dịch 64-s bit | s bit K Mã hóa 64 s Bỏ 64-s bit Mã hóa 64 Chọn s bit 64 Bỏ 64-s bit Chọn s bit Bỏ 64-s bit s s p1 Trần Bá Nhiệm s C1 s C2 p2 CM pM An ninh Mạng 57 Đánh giá OFB • Tương tự CFB khác phản hồi lấy từ đầu giải thuật mã hóa, độc lập với thơng báo • Khơng sử dụng lại khóa IV • Lỗi truyền khối mã hóa khơng ảnh hưởng đến khối khác • Thơng báo dễ bị sửa đổi nội dung • Chỉ nên dùng OFB-64 • Có thể tiết kiệm thời gian cách thực giải thuật mã hóa trước nhận liệu Trần Bá Nhiệm An ninh Mạng 58 Phương thức CTR Biến đếm Mã hóa K Biến đếm + Mã hóa K Biến đếm + N - p2 p1 C1 Mã hóa K pN C2 CN Mã hóa Biến đếm Mã hóa K Biến đếm + Mã hóa K C2 C1 p1 Biến đếm + N - Mã hóa K CN p2 pN Giải mã Trần Bá Nhiệm An ninh Mạng 59 Đánh giá CTR • Hiệu cao – Có thể thực mã hóa (hoặc giải mã) song song – Có thể thực giải thuật mã hóa trước cần • Có thể xử lý khối trước khối khác • An ninh khơng phương thức khác • Đơn giản, cần cài đặt giải thuật mã hóa, khơng cần đến giải thuật giải mã • Khơng sử dụng lại giá trị khóa biến đếm (tương tự OFB) Trần Bá Nhiệm An ninh Mạng 60 Bố trí cơng cụ mã hóa • Giải pháp hữu hiệu phổ biến chống lại mối đe dọa đến an ninh mạng mã hóa • Để thực mã hóa, cần xác định – Mã hóa – Thực mã hóa đâu • Có phương án – Mã hóa liên kết – Mã hóa đầu cuối Trần Bá Nhiệm An ninh Mạng 61 Mã hóa liên kết • Cơng cụ mã hóa đặt đầu liên kết có nguy bị cơng • Đảm bảo an ninh việc lưu chuyển thông tin tất liên kết mạng • Các mạng lớn cần đến nhiều cơng cụ mã hóa • Cần cung cấp nhiều khóa • Nguy bị cơng chuyển mạch – Các gói tin cần mã hóa vào chuyển mạch gói để đọc địa phần đầu • Thực tầng vật lý tầng liên kết Trần Bá Nhiệm An ninh Mạng 62 Mã hóa đầu cuối • Q trình mã hóa thực hệ thống đầu cuối • Đảm bảo an ninh liệu người dùng • Chỉ cần khóa cho đầu cuối • Đảm bảo xác thực mức độ định • Mẫu lưu chuyển thông tin không bảo vệ – Các phần đầu gói tin cần truyền tải tường minh • Thực tầng mạng trở lên – Càng lên cao thơng tin cần mã hóa an ninh phức tạp với nhiều thực thể khóa Trần Bá Nhiệm An ninh Mạng 63 Kết hợp phương án mã hóa Cơng cụ mã hóa đầu cuối PSN: Packet-switching node Cơng cụ mã hóa liên kết Trần Bá Nhiệm An ninh Mạng 64 Quản lý khóa bí mật • Vấn đề mã hóa đối xứng phân phối khóa an ninh đến bên truyền tin – Thường hệ thống an ninh không quản lý tốt việc phân phối khóa bí mật • Phân cấp khóa – Khóa phiên (tạm thời) • Dùng mã hóa liệu phiên kết nối • Hủy bỏ hết phiên – Khóa chủ (lâu dài) • Dùng để mã hóa khóa phiên, đảm bảo phân phối chúng cách an ninh Trần Bá Nhiệm An ninh Mạng 65 Các cách phân phối khóa • Khóa chọn bên A gửi theo đường vật lý đến bên B • Khóa chọn bên thứ ba, sau gửi theo đường vật lý đến A B • Nếu A B có khóa dùng chung bên gửi khóa đến bên kia, sử dụng khóa cũ để mã hóa khóa • Nếu bên A B có kênh mã hóa đến bên thứ ba C C gửi khóa theo kênh mã hóa đến A B Trần Bá Nhiệm An ninh Mạng 66 Phân phối khóa tự động Host gửi gói tin yêu cầu kết nối FEP đệm gói tin; hỏi KDC khóa phiên KDC phân phối khóa phiên đển host Gói tin đệm truyền FEP = Front End Processor KDC = Key Distribution Center Trần Bá Nhiệm An ninh Mạng 67 ... – Mã hóa hốn vị: bố trí lại phần tử nguyên Trần Bá Nhiệm An ninh Mạng Mã hóa đối xứng Trần Bá Nhiệm An ninh Mạng Mã hóa bất đối xứng Trần Bá Nhiệm An ninh Mạng Một số cách phân loại khác • Theo... 25 6 = 7 ,2 x 1016 21 28 = 3,4 x 1038 21 68 = 3,7 x 1050 26 ! = x 1 026 23 1 μs = 35,8 phút 25 5 μs = 11 42 năm 21 27 μs = 5,4 x 1 024 năm 21 67 μs = 5,9 x 1036 năm x 1 026 μs = 6,4 x 10 12 năm 2, 15 ms 10,01... lớn Trần Bá Nhiệm An ninh Mạng 10 Thời gian tìm kiếm trung bình Kích thước khóa (bit) Số lượng khóa Thời gian cần thiết (1 giải mã/μs) 32 56 128 168 26 ký tự (hoán vị) 23 2 = 4,3 x 109 25 6 = 7,2