Bài giảng Nhập môn an toàn hệ thống thông tin - Chương 5: Quản lý và phân phối khóa cung cấp cho người học các kiến thức: Giải thích được sự cần thiết của một Key- Distribution Center, làm thế nào để KDC có thể tạo ra được session Key giữa hai bên tham gia,... Mời các bạn cùng tham khảo.
5 (KEY MANAGEMENT AND DISTRIBUTION) Mục tiêu • Giải thích cần thiết KeyDistribution Center (KDC) • Làm để KDC tạo Session Key hai bên tham gia • Khái niệm Session Key • Giải thích mơ hình KDC • Giải thích bước tạo Session Key KDC • Giải thích Flat Multiple KDCs; Hierarchical Multiple KDCs Nguyễn Thị Hạnh Mục tiêu • Làm hai bên than gia dùng giao thức Symmetric-Key Agreement để tạo session key mà khơng dùng dịch vụ KDC • Diffie-Hellman Key Agreement • Station-to-Station Key Agreement • Mơ tả Kerberos KDC giao thức xác thực: Servers; Operation; Using Different Servers; Kerberos Version 5; Realms Nguyễn Thị Hạnh Mục tiêu • Nêu cần thiết Certification Public Key • • • • Public Announcement Trusted Center Controlled Trusted Center Certification Authority • X.509 đề xuất định dạng Certificate nào? • X.509 Certificate Format Nguyễn Thị Hạnh Mục tiêu • Nêu ý tưởng Public-key Infrastructure (PKI) giải thích nhiệm vụ Nguyễn Thị Hạnh Nội dung Symmetric-key Distribution Kerberos Symmetric-Key Agreement Public-key distribution (Cryptography & Network Security McGrawHill, Inc., 2007., Chapter 15) ( Cryptography and Network Security: Principles and Practices (3rd Ed.) – Chapter 14) Nguyễn Thị Hạnh Symmetric-key Distribution • Mã hóa khóa đối xứng hiệu mã hóa khóa bất đối xứng việc mã hóa thơng điệp lớn Tuy nhiên mã hóa khóa đối xứng cần khóa chia sẻ hai tổ chức • Một người cần trao đổi thơng điệp bảo mật với N người, người cần N khóa khác Vậy N người giao tiếp với N người khác cần tổng số N*(N-1) khóa số khóa khơng vấn đề, mà phân phối khóa vấn đề khác Độ tin cậy hệ thống mật mã phụ thuộc vào cơng nghệ phân phối khóa (key distribution technique) Nguyễn Thị Hạnh Key-Distribution Center: KDC • Để giảm số lượng khóa, người thiết lập khóa bí mật chia sẻ với KDC • Làm để Alice gửi thơng điệp bảo mật tới Bob Key-Distribution Center: KDC • Q trình xử lý sau: Alice gửi yêu cầu đến KDC để nói ta cần khóa phiên (session secret key) cô ta Bob KDC thông báo với Bob yêu cầu Alice Nếu Bob đồng ý, session key tạo bên • Khóa bí mật dùng để chứng thực Alice Bob với KDC ngăn chặn Eve giả mạo hai Nguyễn Thị Hạnh Key-Distribution Center: KDC Flat Multiple KDCs • Khi số lượng người dùng KDC tăng, hệ thống trở nên khó quản lý bottleneck xảy có nhiều KDCs, chia thành domain Mỗi domain có nhiều KDCs • Alice muốn gửi thơng điệp bí mật tới Bob, mà Bob thuộc vào domain khác, Alice liên lạc với KDC ta mà tiếp tục liên lạc với KDC domain Bob • Hai KDCs gọi Flat multiple KDCs Nguyễn Thị Hạnh 10 Nhận xét • Một RA hoạt động xử lý ngoại vi CA • Một RA nên phục vụ cho CA Trong đó, CA hỗ trợ nhiều RA 4/28/2018 143 4.3.3 Kho lưu trữ chứng nhận – Certificate Repository (CR) • Một kho chứng nhận sở liệu chứa chứng nhận phát hành CA • Kho tất người dùng PKI 4/28/2018 144 4.4 Chu trình quản lý giấy chứng nhận • • • • • Khởi tạo Yêu cầu giấy chứng nhận Tạo lại chứng nhận Hủy bỏ chứng nhận Lưu trữ khơi phục khóa 4/28/2018 145 4.4.1 Yêu cầu giấy chứng nhận • Hầu hết CA sử dụng hai phương thức tiêu chuẩn yêu cầu chứng nhận : PKCS #10 CRMF 4/28/2018 146 Mẫu yêu cầu chứng nhận theo chuẩn PKCS#10 4/28/2018 147 Định dạng thông điệp yêu cầu chứng nhận theo RFC 2511 4/28/2018 148 4.4.2 Hủy bỏ chứng nhận • Certificate Revocation List (CRL) cách thông dụng để phổ biến thông tin hủy bỏ • CRL chứa thơng tin thời gian nhằm xác định thời điểm tổ chức CA phát hành • CA ký CRL với khóa bí mật dùng để ký chứng nhận 4/28/2018 149 Phiên định dạng danh sách chứng nhận bị hủy 4/28/2018 150 4.5 Các mơ hình CA • Mơ hình tập trung 4/28/2018 151 Nhận xét • Tất chứng nhận khóa cơng cộng ký tập trung tổ chức CA xác nhận khóa cơng cộng CA • Khuyết điểm mơ hình tượng “nút cổ chai” trung tâm 4/28/2018 152 Mơ hình phân cấp 4/28/2018 153 Nhận xét • Tổ chức CA phân thành nhiều cấp, tổ chức CA cấp cao ký vào chứng nhận khóa cơng cộng tổ chức CA trực tiếp • Một chứng nhận khóa cơng cộng người sử dụng ký tổ chức CA cục 4/28/2018 154 Câu hỏi tập Liệt kê cách mà secret key phân phối cho hai bên giao tiếp Khóa Distribution Center gì? Cho biết trách nhiệm KDC Session Key KDC tạo session key Alice Bob Kerberos tên server nó; mơ tả trách nhiệm Server Thế công Man-in-the-middle Nguyễn Thị Hạnh 155 Câu hỏi tập Giao thức Station-to-Station gì, cho biết mục đích CA gì, mối quan hệ vỡ mã hóa khóa cơng khai Nguyễn Thị Hạnh 156 ... KDCs; Hierarchical Multiple KDCs Nguyễn Thị Hạnh Mục tiêu • Làm hai bên than gia dùng giao thức Symmetric-Key Agreement để tạo session key mà không dùng dịch vụ KDC • Diffie-Hellman Key Agreement... cậy hệ thống mật mã phụ thuộc vào công nghệ phân phối khóa (key distribution technique) Nguyễn Thị Hạnh Key-Distribution Center: KDC • Để giảm số lượng khóa, người thiết lập khóa bí mật chia... Security McGrawHill, Inc., 2007., Chapter 15) ( Cryptography and Network Security: Principles and Practices (3rd Ed.) – Chapter 14) Nguyễn Thị Hạnh Symmetric-key Distribution • Mã hóa khóa đối xứng