Bài giảng Quản lý khóa trong mật mã - Phân phối khóa cho các mật mã khóa bí mật khái niệm phân phối khóa, mã hóa thông qua một chuyển mạch gói, một kịch bản phân phối khóa, quản lý phân cấp khóa, thời gian tồn tại của khóa phiên, một lược đồ quản lý khóa trong suốt.
Giáo viên: Nguyễn Hiếu Minh 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS Các vấn đề trình bày Phân phối khố cho mật mã khóa bí mật Phân phối khố cho mật mã khóa cơng khai Phân phối khóa bí mật sử dụng mật mã khóa cơng khai Hạ tầng khóa công khai (PKI) Một số đánh giá mơ hình phân phối khóa 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS Phân phối khóa cho mật mã khóa bí mật Với mật mã đối xứng, hai đối tượng tham gia vào việc trao đổi số liệu cần: Phải sử dụng khố Khóa phải bảo vệ chống lại sử dụng đối tượng khác Thay đổi khóa thường xun, làm cho liệu bị tổn thương với công 10/28/2012 Độ tin cậy hệ thống mật mã phụ thuộc vào công nghệ phân phối khóa (key distribution technique) Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS Khái niệm phân phối khóa Phương pháp chuyển giao khóa đến hai thực thể muốn trao đổi liệu, không cho phép phía thứ ba biết khóa Khố lựa chọn A vận chuyển vật lý đến B Khố lựa chọn phía thứ vận chuyển vật lý đến hai phía A B 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS (tiếp) Nếu phía A B sử dụng khố chung đấy, phía phát sinh khố truyền phía Khóa mã hoá nhờ khoá chung cũ Nếu hai phía tham gia A B có kênh mã hóa với phía thứ ba C, C truyền khố kênh mã hóa đến A B 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS Nhận xét Phương án cho truyền khố thủ cơng Đối với mã hóa kênh (link encryption) phương án khả thi Đối với mã hóa xuyên suốt (end-to-end encryption), không sử dụng 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS Mã hóa thơng qua chuyển mạch gói 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS (tiếp) Trong hệ thống phân tán, đầu cuối thực đồng thời trao đổi số liệu với nhiều nút khác → cần số khóa cung cấp động → vấn đề khó mạng lớn 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS Đánh giá Phạm vi vấn đề phụ thuộc số cặp truyền thông cần hỗ trợ Nếu thực mã hóa xuyên suốt, mạng có N nút → số lượng khóa cần thiết N(N-1)/2 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS Số lượng khóa yêu cầu hỗ trợ số lượng kết nối đầu cuối 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 10 (tiếp) Phía B gửi cho phía A nonce N2, mã hố khoá phiên vừa nhận Nhờ khoá phiên KS, A trả lời lại f(N2) cho B, hàm thực biến đổi N2 (chẳng hạn bổ sung thêm đơn vị) 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 25 Nhận xét Các bước 4, đảm bảo với B, tin tức nguyên mã không bị tái tạo lại Bước 1, 2, → phân phối khóa Bước 3, 4, → Xác thực 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 26 1.2 Quản lý phân cấp khóa Hồn tồn khơng giới hạn chức phân phối khố cho KDC Với mạng lớn → không thực tế Một cấu trức phân cấp KDC xây dựng Làm tối thiểu hóa việc phân phối khóa chủ 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 27 1.3 Thời gian tồn khóa phiên Càng thường xuyên thay đổi khố phiên, nâng cao độ tin cậy Việc trao đổi khóa phiên thường xuyên → chậm việc mã hóa, tăng lưu lượng mạng → lựa chọn thích hợp 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 28 Giao thức hướng kết nối Sử dụng khoá phiên cho phiên liên lạc sử dụng khoá cho phiên liên lạc Nếu kết nối logic dài, thay đổi chu kì khố phiên cách khôn khéo Chẳng hạn sau gia công số lượng xác định đơn vị số liệu PDU (PDU-Protorcol data Unit) 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 29 Giao thức không liên kết Giải pháp độ an toàn cao sử dụng khoá phiên cho trao đổi số liệu 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 30 1.4 Một lược đồ quản lý khóa suốt 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 31 Nhận xét Phương án áp dụng cho mật mã xuyên suốt mức mạng mức vận chuyển (không thấy (trong suốt) người sử dụng cụ thể) Giả thiết sử dụng phương án với giao thức hướng kết nối (ví dụ, TCP) 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 32 Mô tả bước thực Truyền gói tin yêu cầu kết nối (bước 1) FEP nhận gói tin chuyển đến KDC Liên lạc chúng mã háo nhờ khóa chủ KDC sinh khóa phiên chuyển đến FEP Giải phóng liên lạc gói tin yêu cầu thiệt lập liên lạc hai đầu cuối 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 33 1.5 Phân phối khóa khơng tập trung Sử dụng phân phối khóa KDC yêu cầu KDC phải tin cậy an toàn từ phá hoại Các yêu cầu loại bỏ sử dụng phân phối khóa hồn tồn khơng tập trung Có thể khơng hữu ích mạng lớn, hữu ích mạng cục 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 34 Yêu cầu Khi phân quyền đòi hỏi hệ thống đầu cuối có khả trao đổi số liệu dạng an toàn với tất đầu cuối khác với mục đích phân phối khố Khi mạng có n hệ thống đầu cuối cần đến [n(n-1)]/2 khố chủ 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 35 Phân phối khóa khơng tập trung 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 36 Các bước thiết lập khóa phiên A gửi yêu cầu cho B để nhận khoá phiên, bao gồm nonce N1 B trả lời tin mã hoá nhờ sử dụng khoá chủ chung (MKm) Bao gồm khoá phiên Ks, lựa chọn B, định danh B, giá trị f(N1) nonce N2 khác Sử dụng khoá phiên nhận được, A gửi lại cho B giá trị f(N2) 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 37 Nhận xét Như vậy, nút cần phải lưu giữ (n-1) khố chủ, đồng thời phát sinh khoá phiên tuỳ ý Bởi tin tức mã khố chủ có độ dài ngắn, thám mã chúng vấn đề khó khăn 10/28/2012 Bộ mơn An ninh mạng - Khoa CNTT - HVKTQS 38 1.6 Cách sử dụng khóa điều khiển Giải pháp phân cấp khóa cơng nghệ phân phối khóa tự động → giảm đáng kể số lượng khóa quản lý phân phối thủ công 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS 39 .. .Các vấn đề trình bày Phân phối khố cho mật mã khóa bí mật Phân phối khố cho mật mã khóa cơng khai Phân phối khóa bí mật sử dụng mật mã khóa cơng khai Hạ tầng khóa cơng khai (PKI)... cơng khai (PKI) Một số đánh giá mơ hình phân phối khóa 10/28/2012 Bộ môn An ninh mạng - Khoa CNTT - HVKTQS Phân phối khóa cho mật mã khóa bí mật Với mật mã đối xứng, hai đối tượng tham gia vào... ninh mạng - Khoa CNTT - HVKTQS 33 1.5 Phân phối khóa khơng tập trung Sử dụng phân phối khóa KDC yêu cầu KDC phải tin cậy an toàn từ phá hoại Các yêu cầu loại bỏ sử dụng phân phối khóa hồn