Đang tải... (xem toàn văn)
NGHIÊN CỨU MỘT SỐ BIỆN PHÁP NÂNG CAO ĐỘ AN TOÀN CỦA GIAO THỨC SSLTLS, ỨNG DỤNG TRONG BẢO MẬT THÔNG TIN MẠNG MÁY TÍNHĐược thiết kế bởi Netscape bao gồm các cơ chế bảo mật trong các sản phẩm trình duyệt để tạo ra truyền thông an toàn trên mạng, SSLTLS hiện đang là giao thức bảo mật được sử dụng phổ biến trên Internet nhất là trong các hoạt động thương mại điện tử. Ban đầu, SSL được thiết kế kết hợp cùng với giao thức HTTP được sử dụng bởi các Web server và browser, nhưng bây giờ nó đã là một thành phần quan trọng trong mọi loại truyền thông Internet bảo mật. Việt Nam đang trên đường hội nhập với nền công nghệ thông tin thế giới, các hoạt động giao dịch trên mạng ở Việt Nam cũng sẽ diễn ra sôi nổi, khi đó vấn đề bảo mật trở nên quan trọng, việc triển khai SSLTLS là điều cần thiết. Cho đến hiện nay có rất nhiều phương pháp bảo mật như DES, RSA,… Nhưng một trong số đó, bộ giao thức SSLTLS là một phương pháp được sử dụng phổ biến nhất trong bảo mật trên internet.Trong đồ án này, em nghiên cứu một số biện pháp nâng cao độ an toàn của giao thức SSLTLS, ứng dụng trong bảo mật thông tin mạng máy tính. Em hy vọng rằng với đồ án tốt nghiệp này sẽ đem đến cái nhìn cụ thể hơn về SSLTLS và bảo mật mạng, tầm quan trọng của nó cũng như ứng dụng trong thực tế.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU MỘT SỐ BIỆN PHÁP NÂNG CAO ĐỘ AN TOÀN CỦA GIAO THỨC SSL/TLS, ỨNG DỤNG TRONG BẢO MẬT THÔNG TIN MẠNG MÁY TÍNH Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Trần Văn Dũng Lớp: AT10C Người hướng dẫn : ThS Nguyễn Thanh Sơn Cục QLMMDS & KĐSPMM Hà Nội, Năm 2018 Chương Đề xuất ứng dụng OpenSSL GVHD:ThS Nguyễn Thanh Sơn BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU MỘT SỐ BIỆN PHÁP NÂNG CAO ĐỘ AN TOÀN CỦA GIAO THỨC SSL/TLS, ỨNG DỤNG TRONG BẢO MẬT THƠNG TIN MẠNG MÁY TÍNH Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Trần Văn Dũng Lớp: AT10C Người hướng dẫn : ThS Nguyễn Thanh Sơn Cục QLMMDS & KĐSPMM SVTH: Trần Văn Dũng – AT10C Chương Đề xuất ứng dụng OpenSSL GVHD:ThS Nguyễn Thanh Sơn Hà Nội, Năm 2018 SVTH: Trần Văn Dũng – AT10C LỜI CẢM ƠN Trong thời gian làm đồ án tốt nghiệp, em nhận nhiều giúp đỡ, đóng góp ý kiến bảo nhiệt tình thầy cơ, gia đình bạn bè Em xin gửi lời cảm ơn chân thành đến ThS Nguyễn Thanh Sơn - Cục QLMMDS & KĐSPMM người tận tình hướng dẫn, bảo em suốt trình làm đồ án tốt nghiệp Em chân thành cảm ơn thầy cô giáo Học Viện Kỹ Thuật Mật mã nói chung, thầy Khoa An Tồn Thơng Tin nói riêng dạy dỗ cho em kiến thức môn đại cương mơn chun ngành, giúp em có sở lý thuyết vững vàng tạo điều kiện giúp đỡ em suốt trình học tập Cuối em, xin chân thành cảm ơn gia đình bạn bè, tạo điều kiện, quan tâm, giúp đỡ em suốt q trình học tập hốn thành đồ án tốt nghiệp Em xin chân thành cảm ơn! Hà Nội, ngày 25 tháng 05 năm 2018 Sinh viên Trần Văn Dũng TÓM TẮT Được thiết kế Netscape bao gồm chế bảo mật sản phẩm trình duyệt để tạo truyền thơng an tồn mạng, SSL/TLS giao thức bảo mật sử dụng phổ biến Internet hoạt động thương mại điện tử Ban đầu, SSL thiết kế kết hợp với giao thức HTTP sử dụng Web server browser, thành phần quan trọng loại truyền thông Internet bảo mật Việt Nam đường hội nhập với công nghệ thông tin giới, hoạt động giao dịch mạng Việt Nam diễn sôi nổi, vấn đề bảo mật trở nên quan trọng, việc triển khai SSL/TLS điều cần thiết Cho đến có nhiều phương pháp bảo mật DES, RSA,… Nhưng số đó, giao thức SSL/TLS phương pháp sử dụng phổ biến bảo mật internet.Trong đồ án này, em nghiên cứu số biện pháp nâng cao độ an toàn giao thức SSL/TLS, ứng dụng bảo mật thông tin mạng máy tính Em hy vọng với đồ án tốt nghiệp đem đến nhìn cụ thể SSL/TLS bảo mật mạng, tầm quan trọng ứng dụng thực tế MỤC LỤC DANH SÁCH HÌNH VẼ DANH SÁCH BẢNG BIỂU BẢNG CHÚ GIẢI MỘT SỐ CỤM TỪ VIẾT TẮT CA Certificate Authority (Tổ chức cấp chứng chỉ) Client Máy khách HTTP HyperText Transfer Protocol (Giao thức truyền siêu văn bản) MAC Message Authentication Code (Mã xác thực thông điệp) Server Máy chủ SSL Secure Sockets Layer (Khe cắm an toàn) TLS Transport Layer Security (Bảo mật tầng giao vận) IETF TCP/IP Internet Engineering Task Force Transfer Control Protocol/Internet Protocol MỞ ĐẦU SSL (Secure Sockets Layer) Netscape phát triển vào năm 1994, nhanh chóng trở thành giao thức sử dụng rộng rãi cho ứng dụng server cần vận chuyển liệu an toàn qua mạng Internet Giao thức HTTPS mà ta thường thấy ngày truy cập Facebook, Google, Youtube… kết hợp SSL HTTP Vì SSL giao thức độc quyền nên vào năm 1999 IETF chuẩn hóa SSL 3.1 thành TLS 1.0 (được quy định RFC 2246) Mặc dù SSL TLS (Transport Layer Security) có nhiều điểm tương đồng, có khác biệt khiến chúng hoạt động chung với SSL TLS có version sau: • SSL 1.0 (khơng cịn sử dụng) • SSL 2.0 (khơng khuyến khích sử dụng mơi trường thực tế) • SSL 3.0 • TLS 1.0 (SSL 3.1) • TLS 1.1 • TLS 1.2 • TLS 1.3 SSL đảm bảo tính riêng tư, tính tồn vẹn chứng thực thơng qua thuật tốn mã hóa hash đề cập viết Tổng quan công nghệ VPN SSL nằm tầng application tầng transport mơ hình OSI, sử dụng TCP làm giao thức vận chuyển nhằm truyền gói tin cách tin cậy Ngày việc bảo mật thông tin yếu tố quan trọng để định sống tổ chức, công ty hay doanh nghiệp Với phát triển nhanh chóng cơng nghệ mang lại nhiều tiện ích cho người dùng đồng thời đặt nhu cầu cấp thiết an tồn bảo mật Cho đến có nhiều phương pháp bảo mật DES, RSA,… Nhưng số đó, giao thức SSL/TLS phương pháp sử dụng phổ biến bảo mật internet Từ nhận thức kiến thức học Học Viện Kỹ Thuật Mật Mã em chọn đề tài “NGHIÊN CỨU MỘT SỐ BIỆN PHÁP NÂNG CAO ĐỘ AN TOÀN CỦA GIAO THỨC SSL/TLS, ỨNG DỤNG TRONG BẢO MẬT THƠNG TIN MẠNG MÁY TÍNH ” để nghiên cứu thực tế viết thành đồ án Với hiểu biết hạn chế thời gian thực tế ngắn ngủi, với giúp đỡ thầy cô giáo , em hy vọng giúp người hiểu phần giao thức SSL/TLS ứng dụng bảo mật mạng internet Bài viết chia làm chương: Chương Tổng quan giáo thức SSL/TLS Chương giới thiệu giáo thức SSL/TLS (định nghĩa giao thức SSL/TLS, sử dụng SSL/TLS, lịch sử đời SSL/TLS) Cấu trúc, nguyên lý hoạt động giao thức SSL/TLS Chương Một số vấn đề an toàn giao thức SSL/TLS Chương giới thiệu số công biết đồi với giao thức SSL/TLS số giải pháp tùy biến tham số, nguyên thủy mật mã nhằm nâng cao độ an toàn giao thức Chương Nghiên cứu thư viện mật mã OpenSSL đề xuất ứng dụng bảo mật thông tin mạng máy tính Chương giới thiệu tổng quan thư viện mật mã OpenSSL đề xuất ứng dụng bảo mật thông tin mạng máy tính (Demo phương pháp cơng HTTP giải pháp phòng chống triển khai SSL) Bài viết hồn thành với tận tình hướng dẫn, giúp đỡ ThS Nguyễn Thanh Sơn Thầy trong khoa An Tồn Thơng Tin Em xin chân thành cảm ơn! Chương TỔNG QUAN VỀ BỘ GIAO THỨC SSL/TLS 1.1 Giới thiệu giao thức SSL/TLS 1.1.1 SSL/TLS gì? SSL viết tắt từ Secure Socket Layer, tiêu chuẩn cơng nghệ bảo mật, truyền thơng mã hố máy chủ Web server trình duyệt (browser) Tiêu chuẩn hoạt động đảm bảo liệu truyền tải máy chủ trình duyệt người dùng riêng tư toàn vẹn SSL tiêu chuẩn bảo mật cho hàng triệu website tồn giới, bảo vệ liệu truyền mơi trường internet an tồn TLS viết tắt từ Transport Layer Security, kế thừa SSL TLS bao gồm nhiều cải tiến sửa lỗi SSL SSL giới thiệu vào đầu năm 1990 ba phiên đưa lên SSL 3.0 Sau đó, vào năm 1999, phiên SSL xuất tên TLS 1.0 Hiện tại, phiên TLS SSL cũ có nhiều lỗi bảo mật biết dễ bị công biết, công POODLE.Phiên TLS có sửa lỗi cho cơng hỗ trợ tính thuật tốn Vì vậy, ứng dụng cần bảo mật tốt hơn, nên sử dụng phiên TLS thay sử dụng giao thức SSL cũ 1.1.2 Tại sử dụng SSL/TLS Ngày việc bảo mật thông tin yếu tố quan trọng để định sống tổ chứng, công ty hay doanh nghiệp.Với phát triển nhanh chóng cơng nghệ mang lại nhiều tiện ích cho người dùng đồng thời đặt nhu cầu cấp thiết an toàn bảo mật Cho đến có nhiều phương pháp bảo mật DES, RSA,… Nhưng số đó, giao thức SSL/TLS phương pháp sử dụng phổ biến bảo mật internet Việc truyền thông tin nhạy cảm mạng khơng an tồn vấn đề sau: • Bạn khơng thể ln ln bạn trao đổi thông tin với đối tượng cần trao đổi • Dữ liệu mạng bị chặn, liệu bị đối tượng thứ ba khác đọc trộm, thường biết đến attacker • Nếu attacker chặn liệu, attacker sửa đổi liệu trước gửi đến người nhận SSL giải vấn đề SSL giải vấn đề cách cho phép cách tùy chọn bên trao đổi chắn định danh phía đối tác q trình gọi authentication (xác thực) Một bên xác thực, SSL cung cấp kết nối mã hóa hai bên để truyền bảo mật message Việc mã hóa q trình trao đổi thơng tin hai bên cung cấp riêng tư bí mật, mà giải vấn đề thứ hai Thuật toán mã hóa sử dụng với SSL bao gốm hàm băm mã hóa, tương tự checksum Nó đảm bảo liệu không bị thay đổi trình truyền dẫn Hàm băm mã hóa giải vấn đề thứ ba, tính tồn vẹn liệu Chú ý rằng, xác thực mã hóa tùy chộn, phụ thuộc vào cipher suites (các mã hóa) đàm phán hai đối tượng Một ví dụ rõ ràng mà bạn nên sử dụng SSL trao đổi thông tin giao dịch qua mạng (e-commerce) Trong trao đổi e-commerce, thât dại đột giả ddinjhj bạn chắn định danh server mà bạn trao đổi thông tin Ai ễ dàng Website giả hứa hẹn cách dịch vụ tuyệt vời, bạn nhập vào số tài khoản SSL cho phép bạn, client,xác thực định danh server Nó cho phép server xác thực định danh client, giao tác Internet, việc làm Một client server hài lòng với định danh bên đối tác SSL cấp tính bảo mật tính tồn vẹn thơng qua thuật tốn mã hóa mà sử dụng Điều cho phép thông tin nhạy cảm, số tài khoản, truyền cách an toàn Internet Trong SSL cung cấp tính xác thực, tính bảo mật tồn vẹn liệu, khơng cấp non-repudiation (tính khơng từ chối) Non-repudiation có nghĩa đối tượng gửi message, sau khơng thể phù nhận việc gửi message Khi chữ kí số tương đương liên kết với message, việc trao đổi sau chứng minh SSl không cung câp non-repudiation 1.1.3 Lịch sử đời SSL/TLS Như biết có hai giao thức bảo mật quan trọng lớp vận chuyển (Layer Transport) có tầm quan trọng cao bảo mật trình ứng dụng Web: hai giao thức SSL TLS Nói chung, có số khả để bảo vệ mật mã lưu lượng liệu HTTP Ví dụ, vào năm 1990, tập đoàn CommerceNet đề xuất S-HTTP mà 10 Ip: 10.0.0.4 /24 Cài Wireshark để bắt gói tin Kích bản: Máy victim truy cập vào web http.máy attacker dung phần mềm WireShark để nghe đọc trộm nội dung web mà máy victim truy cập Quá trình: Máy server Dựng web thành công 82 Máy Victim truy cập vào web Máy Attacker dùng Wireshark 83 Cài đặt Wireshark Khi máy victim truy cập Web ta bắt gói tin 84 Mở gói tin HTTP/1.1 200 OK (text/html) ta thấy nội dung trang web 2.4.2 Giải pháp phòng chống triển khai SSl Cài đặt openssl: Để cài đặt OpenSSL Windows Server, bạn cần có - Perl for Win32 ( download http://www.activestate.com/ActivePerl ) - Một số trình biên dịch C sau: Visual C++, Borland C GNU C (Mingw32 hay Cygwin32) Tự tạo chứng thực cho CA a Tạo cặp khóa MyCA: Openssl> genrsa -des3 -out MyCA.key 1024 Password “phamduchai” b Tạo chứng thực tự ký (self-signed CA certificate) Openssl> req -new -config openssl.cnf -x509 -days 365 -key MyCA.key -out MyCA.crt Pass phrase for MyCA.key :phamduchai Country Name: VN 85 State or Province Name:VietNam Common Name:Hai c Chuyển sang dạng PKCS#12 để import vào IIS Openssl> pkcs12 -export -in MyCA.crt -inkey MyCA.key -out MyCA.pfx Pass phrase for MyCa.key: phamduchai Export password:bknp Tạo chứng thực cho máy chủ a.Tạo cặp khóa MyServer: Openssl> genrsa -des3 -out MyServer.key 1024 Pass phrase for Myserver.key:12345678 b.Tạo yêu cầu chứng thực (certificate signing request) Openssl> req -config openssl.cnf -out MyServer.csr -key MyServer.key –new 86 c Kí vào yêu cầu (certificate request) với khóa bí mật MyCA tạo chứng thực cho MyServer openssl x509 -CAcreateserial -CAserial MyCA.srl -in MyServer.csr -days 370 -req -extfile openssl.cnf -extensions v3_req –CA MyCA.crt -CAkey MyCA.key -out MyServer.crt Pass phrase for MyCa.key: phamduchai d Chuyển sang dạng PKCS#12 để import vào IIS openssl pkcs12 -export -in MyServer.crt -inkey MyServer.key -out MyServe.pfx 87 Pass phrase for Myserver.key:12345678 Export password:bknp Cài đặt MyCA MyServer Win2000 Chạy MMC: Menu Start/Run /mmc Menu Console/Add/Remove snap-in /Standalone/Add 88 Certificates/Add/Computer Account/Next/Finish/Close/OK Cài ca certificate (myca): +Console root +Certificates +Trusted Root Certification Authorities Right-click vào Certificates/All Tasks/Import Chọn đường dẫn đến MyCA.pfx tạo 89 Pasword: bknp Cài End-use Certificate (myserver): +Console root +Certificates +Personal Right-click Certificates/All Tasks/Import Chọn đường dẫn đến MyServer.pfx tạo 90 Cho IIS dùng MyServer: Menu Start/Settings/Control Panel/Administratove Tools/Internet Services Manager Nhấn chuột phải vào Default Web Site/Properties/Directory Security/Server Certificate Next/Assign an existing certificate/Next/Chọn MyServer 91 Kiểm tra: Mở Internet Explorer máy victim, truy cập vào trang web thiết lập SSL, thấy biểu tượng ổ khóa bên góc phải hình bạn thành công 92 Trên máy Attacker dùng Wireshark kiểm tra thấy goi tin mã hóa!!! Khơng đọc nội dung trang web 93 Chúng ta đảm bảo an ninh 2.5 Kết luận chương Chương giới thiệu thư viện OpenSSL cơng cụ để cung cấp bảo mật Chỉ chức đơn giản chương trình OpenSSL Chương trình minh họa công HTTP xây dựng thành thông, đáp ứng yêu cầu đặt mô tả chi tiết bước thực Chương trình mặt cho thấy tác động từ bên hệ thống mạng internet, mặt khác giúp cho người ứng dụng bảo mật thông tin thư viện OpenSSL cách cụ thể nắm bắt hoạt động cách cấu hình bảo mật nhanh chóng 94 KẾT LUẬN Bốn chương đồ án thể mục tiêu đặt thực đồ án đạt Cụ thể: Trong chương hệ thống lại nét khái quát, cấu trúc cách thức làm việc giao thức SSL/TLS Chương để đảm bảo an tồn cho mạng internet thiếu giao thức SSL/TLS, Trong chương trình bày chi tiết số cơng biện pháp nâng cao an toàn biện pháp phịng chống cơng biết giao thức SSL/TLS Với số công nêu nguy hiểm, gây hậu nghiêm trọng chúng thực thành cơng Qua để biết mức độ nguy hiểm công để đưa biện pháp nâng cao an toàn cho giao thức SSL/TLS, ngăn chặn cơng biết Trong trình bày thuật tốn tham số mật mã an tồn để sử dụng cho giao thức SSL/TLS Tuy nhiên, quy luật phát triển khoa học nói chung khoa học mật mã nói riêng, người ta lại tìm cơng khác để vượt qua điều chỉnh Trong chương giới thiệu thư viện OpenSSL cơng cụ để cung cấp bảo mật Chỉ chức đơn giản chương trình OpenSSL Chương trình minh họa cơng HTTP xây dựng thành công, đáp ứng yêu cầu đặt mô tả chi tiết bước thực Chương trình mặt cho thấy tác động từ bên hệ thống mạng internet, mặt khác giúp cho người ứng dụng bảo mật thông tin mạng máy tính thư viện OpenSSL cách cụ thể qua người nắm bắt hoạt động cách cấu hình bảo mật nhanh chóng Dù vậy, số vấn đề liên quan đến giao thức SSL/TLS chưa giải đồ án Đồ án mặt hạn chế : Chương trình cịn đơn giản, chưa có nhiều tùy chọn mã hóa, Chưa xây dựng chương trình mã hóa file có dung lượng lớn Việc giải điểm tồn hướng phát triển tương lai đồ án TÀI LIỆU THAM KHẢO 95 [1] Joshua Davies, Implementing SSL/TLS Using Cryptography and PKI, Published by Wiley Publishing, Inc [2] Javvin, Network Protocols Handbook 4, Copyright © 2004 - 2005 Javvin Technologies Inc [3] Information Security Principles - By Mark Stamp [4] Internet Security Cryptographic principles, Algorithms and protocols- - By Man Young Rhee [5] Beginning Crypyography with Java_ By David hook [6] http://www.openssl.org/ [7] http://en.wikipedia.org/wiki/OpenSSL [8] http://www.madboa.com/geek/openssl/ 96 ... ln tạo điều kiện, quan tâm, giúp đỡ em suốt trình học tập hoán thành đồ án tốt nghiệp Em xin chân thành cảm ơn! Hà Nội, ngày 25 tháng 05 năm 2018 Sinh viên Trần Văn Dũng TÓM TẮT Được thiết kế... biến bảo mật internet.Trong đồ án này, em nghiên cứu số biện pháp nâng cao độ an toàn giao thức SSL/TLS, ứng dụng bảo mật thơng tin mạng máy tính Em hy vọng với đồ án tốt nghiệp đem đến nhìn cụ... nhằm mục đích ngăn chặn lỗ hổng bảo mật cách tốt Như để đánh giá rõ mức độ an toàn giao thức này, phần đồ án này, ta tìm hiểu số cơng phịng tránh giao thức SSL/TLS Chương MỘT SỐ VẤN ĐỀ VỀ AN TOÀN