Bài giảng cung cấp cho người học các kiến thức: Vị trí của mật mã trong mạng máy tính, cơ sở hạ tầng khóa công khai, IPsec, SSL/TLS, PGP và S/MIME, Kerberos, SSH. Cuối bài giảng có phần bài tập để người học ôn tập và củng cố kiến thức.
NỘI DUNG BÀI HỌC Vị trí mật mã mạng máy tính Cơ sở hạ tầng khố công khai IPsec SSL/TLS PGP S/MIME Kerberos SSH Bài tập 1 Vị trí mật mã mạng máy tính Tổng quan Việc sử dụng mật mã mạng máy tính nhằm xây dựng giao thức bảo mật mạng: – Giải thuật mã hoá khoá đối xứng – Giải thuật mã hố khố cơng khai – Giải thuật sinh khố trao đổi khoá – Hàm băm – Giải thuật chứng thực – Chữ ký số – Cơ sở hạ tầng khố cơng khai Vị trí mật mã mạng máy tính Tổng quan Để bảo vệ truyền thơng mạng, triển khai giải thuật mã hóa lớp kiến trúc mạng Sử dụng giải thuật mã hóa lớp khác cung cấp mức độ bảo vệ khác Các giao thức bảo mật mạng ứng dụng thực tế: – Tầng mạng: Cơ sở hạ tầng khố cơng khai (PKI) X.509, giao thức IP security (IPsec) – Tầng vận chuyển: giao thức Secure Sockets Layer/Transport Layer Security (SSL/TLS) – Tầng ứng dụng: Pretty Good Privacy (PGP), Secure/ Multipurpose Internet Mail Extension (S/MIME), Kerberos, Secure Shell (SSH) Vị trí mật mã mạng máy tính Tổng quan Riêng tư/Mã hố Nhân viên nội SSL 2.0 3.0 từ xa (cung cấp Secure Server ID) truy cập đến server Chứng thực - Client chứng thực mật SSL 3.0 với Client ID Ký vào văn bản, S/MIME sử dụng Client ID Như Không cần thiết Nhân viên từ - SSL POP3 xa sử dụng e- IMAP mail server - S/MIME Client ID mail Server chứng thực mật Server ID S/MIME sử dụng Client ID Truyền thông - SSL với chi nhánh - VPN sử dụng IPsec - Server chứng thực Server ID - Router/ tường lửa chứng thực IPsec ID - Client chứng thực mật SSL 3.0 với Client ID Ký vào văn bản, S/MIME Khách hàng truy cập đến server SSL 2.0 3.0 (cung cấp Secure Server ID) -Server chứng thực Server ID Ký/ Toàn vẹn liệu VPN sử dụng IPsec Vị trí mật mã mạng máy tính Sự tương ứng kiến trúc TCP/IP mơ hình OSI Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp ứng dụng (Application Layer): – Bảo mật end-to-end – Dữ liệu mã hoá chứng thực lớp tiếp tục qua lớp khác liệu bình thường (không cần giải mã kiểm tra) – TCP header IP header khơng mã hố (do nằm lớp dưới) attacker phân tích sửa đổi nội dung – VD: Malice thay đổi địa IP đích IP header để phân phối gói tin cho người khác Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp vận chuyển (Transport Layer): – Nhằm cung cấp an tồn cho gói TCP – Có thể mã hố chứng thực cho phần payload gói tin TCP (mã hố header payload) – Việc mã hố khơng ảnh hưởng đến liệu nhận từ lớp ứng dụng – IP header khơng mã hố attacker thu giá trị sequence number sử dụng chúng để cơng Vị trí mật mã mạng máy tính Sự đóng gói mã hoá liệu lớp mạng Mã hoá lớp mạng (Network Layer): – Bảo mật link-to-link – Mã hố chứng thực phần payload gói IP – Không ảnh hưởng đến chức định tuyến – Được xem ứng dụng tunnelmode Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp liên kết liệu (Data-Link Layer): – Cung cấp bảo mật cho frames – Thực mã hoá chứng thực cho Payload frame – Việc phân tích traffic frame mã hố khơng thu nhiều thơng tin attacker – Việc mã hoá lớp liên kết liệu giới thiệu (Bảo mật mạng không dây) Vị trí mật mã mạng máy tính Các giải thuật mã hoá phần cứng phần mềm Các giải thuật mã hố thực phần mềm phần cứng sử dụng công nghệ vi mạch tích hợp ứng dụng (Application Specific Integrated Circuit – ASIC) – Tại lớp ứng dụng: thực phần mềm – Tại lớp liên kết liệu: thực phần cứng – Tại lớp khác: thực phần mềm phần cứng hai – Việc triển khai mã hoá thực phần cứng có hiệu suất cao chi phí cao linh hoạt cần thay đổi 10 Kerberos Mô tả phiên giao dịch Khi nhận gói tin C D, TGS giải mã D gửi gói tin sau tới người sử dụng: Gói tin E: "Vé" (bao gồm danh người sử dụng, địa mạng người sử dụng, thời hạn sử dụng "Khóa phiên máy chủ/máy khách") mật mã hóa với khóa bí mật máy chủ cung cấp dịch vụ Gói tin F: "Khóa phiên máy chủ/máy khách" mật mã hóa với "Khóa phiên TGS/máy khách" 92 Kerberos Mô tả phiên giao dịch Khi nhận gói tin E F, người sử dụng có đủ thơng tin để nhận thực với máy chủ cung cấp dịch vụ SS Máy khách gửi tới SS gói tin: Gói tin E thu từ bước trước (trong có "Khóa phiên máy chủ/máy khách" mật mã hóa với khóa bí mật SS) Gói tin G: phần nhận thực mới, bao gồm danh người sử dụng, thời điểm yêu cầu mật mã hóa với "Khóa phiên máy chủ/máy khách" 93 Kerberos Mô tả phiên giao dịch SS giải mã "Vé" khóa bí mật gửi gói tin sau tới người sử dụng để xác nhận định danh khẳng định đồng ý cung cấp dịch vụ: Gói tin H: Thời điểm gói tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với "Khóa phiên máy chủ/máy khách" 10.Máy khách giải mã gói tin xác nhận kiểm tra thời gian có cập nhật xác Nếu người sử dụng tin tưởng vào máy chủ SS bắt đầu gửi yêu cầu sử dụng dịch vụ 11.Máy chủ cung cấp dịch vụ cho người sử dụng 94 Kerberos Mô tả phiên giao dịch 95 SSH Tổng quan Telnet, rlogin, rsh, rcp, FTP giao thức lớp ứng dụng phổ biến giúp người dùng đăng nhập vào máy tính từ xa truyền file máy tính mạng Tuy nhiên, giao thức truyền tải liệu thơ mà khơng có bảo vệ nào, nên dễ bị đánh cắp mật khẩu, nghe trộm, giả mạo IP, loại công khác Năm 1995, nhà nghiên cứu người Phần Lan Tatu Ylonen đưa giải thuật Secure Shell (SSH) để bảo vệ việc đăng nhập từ xa công bảo mật 96 SSH Tổng quan SSH định nghĩa RFC 4251 SSH sử dụng cổng TCP 22 SSH hoạt động flatform khác nhau: – Kết nối đến máy chủ SSH router Cisco từ máy khách chạy Windows – Kết nối đến máy chủ Linux từ router Cisco hay kết nối đến máy chủ Windows 2008 từ máy khách sử dụng hệ điều hành Linux 97 SSH Tổng quan SSH tạo kết nối bảo mật hai máy tính sử dụng giải thuật mã hố chứng thực Có khả nén liệu, bảo mật cho liệu truyền (SFTP) chép file (SCP) Là giao thức ứng dụng client-server SSH chia thành lớp lớp ứng dụng mơ hình mạng TCP/IP: – Connection Layer – User Authentication Layer – Transport Layer 98 SSH Tổng quan 99 SSH Cách thức hoạt động SSH thực qua bước: Định danh host: – Việc định danh host thực qua việc trao đổi khố Mỗi máy tính có hỗ trợ kiểu truyền thơng SSH có khố định danh Khoá gồm hai thành phần: khoá riêng khố cơng khai Khố cơng khai sử dụng cần trao đổi máy chủ với phiên làm việc SSH, liệu mã hố khố cơng khai giải mã khoá riêng 100 SSH Cách thức hoạt động SSH thực qua bước: Định danh host: – Khi hai hệ thống bắt đầu phiên làm việc SSH, máy chủ gửi khoá cơng khai cho máy khách Máy khách sinh khoá phiên ngẫu nhiên mã hoá khoá khố cơng cộng máy chủ, sau gửi lại cho máy chủ Máy chủ giải mã khố phiên khố riêng nhận khoá phiên Khoá phiên khoá sử dụng để trao đổi liệu hai máy Quá trình xem bước nhận diện máy chủ máy khách 101 SSH Cách thức hoạt động 102 SSH Cách thức hoạt động SSH thực qua bước: Mã hoá: – Sau hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi khố, định danh), q trình trao đổi liệu diễn thông qua bước trung gian mã hố/giải mã Dữ liệu gửi/nhận đường truyền mã hoá giải mã theo chế thoả thuận trước máy chủ máy khách – Việc lựa chọn chế mã hoá thường máy khách định Các chế mã hoá thường chọn bao gồm: 3DES, IDEA, Blowfish Khi chế mã hoá lựa chọn, máy chủ máy khách trao đổi khoá mã hoá cho 103 SSH Cách thức hoạt động SSH thực qua bước: Chứng thực: – Mỗi định danh truy nhập người sử dụng cung cấp theo nhiều cách khác Chẳng hạn, kiểu chứng thực rhosts sử dụng, khơng phải mặc định; đơn giản kiểm tra định danh máy khách liệt kê file rhost (theo DNS địa IP) – Việc chứng thực mật cách thông dụng để định danh người sử dụng, ngồi có cách khác: chứng thực RSA, sử dụng ssh-keygen ssh-agent để chứng thực cặp khoá 104 Bài tập Trình bày chế Anti-Replay giao thức AH IPsec Nêu ứng dụng Ipsec Replay attack gì? Sử dụng ví dụ để trình bày chi tiết chế hoạt động SSL Mô tả chi tiết hoạt động giao thức SSH 105 Bài tập 10 Nêu khác biệt transport mode tunnel mode Nêu yêu cầu cần thiết triển khai Kerberos Trình bày mục tiêu chuẩn X.509 X.509 thu hồi chứng cách nào? Xây dựng bảng tổng hợp vai trò, cơng dụng, đặc điểm… giao thức nêu 106 ... Vị trí mật mã mạng máy tính Sự tương ứng kiến trúc TCP/IP mơ hình OSI Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp ứng dụng (Application Layer): – Bảo mật end-to-end –... viên từ - SSL POP3 xa sử dụng e- IMAP mail server - S/MIME Client ID mail Server chứng thực mật Server ID S/MIME sử dụng Client ID Truyền thông - SSL với chi nhánh - VPN sử dụng IPsec - Server... tích traffic frame mã hố khơng thu nhiều thông tin attacker – Việc mã hoá lớp liên kết liệu giới thiệu (Bảo mật mạng không dây) Vị trí mật mã mạng máy tính Các giải thuật mã hoá phần cứng phần