Bài giảng An ninh mạng – Chương 6: An toàn thư điện tử (TS Nguyễn Đại Thọ) được thông tin đến các bạn với những kiến thức về bảo mật của PGP; xác thực và bảo mật của PGP; nén của PGP; tương thích thư điện tử của PGP; phân và ghép của PGP; sơ đồ xử lý PGP; khóa công khai/khóa riêng PGP...
Chương AN TOÀN THƯ ĐIỆN TỬ Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 144 https://fb.com/tailieudientucntt Giới thiệu • Thư điện tử dịch vụ mạng phổ dụng • Hiện thông báo không bảo mật – Có thể đọc nội dung q trình thơng báo di chuyển mạng – Những người dùng có đủ quyền đọc nội dung thơng báo máy đích – Thơng báo dễ dàng bị giả mạo người khác – Tính tồn vẹn thơng báo khơng đảm bảo • Các giải pháp xác thực bảo mật thường dùng – PGP (Pretty Good Privacy) – S/MIME (Secure/Multipurpose Internet Mail Extensions) Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 145 https://fb.com/tailieudientucntt PGP • Do Phil Zimmermann phát triển vào năm 1991 • Chương trình miễn phí, chạy nhiều mơi trường khác (phần cứng, hệ điều hành) – Có phiên thương mại cần hỗ trợ kỹ thuật • • • • Dựa giải thuật mật mã an ninh Chủ yếu ứng dụng cho thư điện tử file Độc lập với tổ chức phủ Bao gồm dịch vụ : xác thực, bảo mật, nén, tương thích thư điện tử, phân ghép – Ba dịch vụ sau suốt người dùng Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 146 https://fb.com/tailieudientucntt Xác thực PGP Nguồn A Đích B So sánh M = Thơng báo gốc H = Hàm băm ║ = Ghép Z = Nén Z-1 = Cởi nén Nguyễn Đại Thọ EP = Mã hóa khóa cơng khai DP = Giải mã khóa cơng khai KRa = Khóa riêng A KUa = Khóa cơng khai A An ninh Mạng CuuDuongThanCong.com 147 https://fb.com/tailieudientucntt Bảo mật PGP Nguồn A Đích B EC = Mã hóa đối xứng DC = Giải mã đối xứng Ks = Khóa phiên Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 148 https://fb.com/tailieudientucntt Xác thực bảo mật PGP Nguồn A Nguyễn Đại Thọ Đích B An ninh Mạng CuuDuongThanCong.com 149 https://fb.com/tailieudientucntt Nén PGP • PGP nén thơng báo sử dụng giải thuật ZIP • Ký trước nén – Thuận tiện lưu trữ kiểm tra, ký sau nén • Cần lưu phiên nén với chữ ký, • Cần nén lại thông báo lần muốn kiểm tra – Giải thuật nén khơng cho kết • Mỗi phiên cài đặt có tốc độ tỷ lệ nén khác • Nếu ký sau nén chương trình PGP cần sử dụng phiên giải thuật nén • Mã hóa sau nén – Ít liệu khiến việc mã hóa nhanh – Thơng báo nén khó phá mã thông báo thô Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 150 https://fb.com/tailieudientucntt Tương thích thư điện tử PGP • PGP phải gửi liệu nhị phân • Nhiều hệ thống thư điện tử chấp nhận văn ASCII (các ký tự đọc được) – Thư điện tử vốn chứa văn đọc • PGP dùng giải thuật số 64 chuyển đổi liệu nhị phân sang ký tự ASCII đọc – Mỗi byte nhị phân chuyển thành ký tự đọc • Hiệu ứng phụ việc chuyển đổi kích thước thơng báo tăng lên 33% – Nhưng có thao tác nén bù lại Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 151 https://fb.com/tailieudientucntt Bảng chuyển đổi số 64 Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 152 https://fb.com/tailieudientucntt Phân ghép PGP • Các giao thức thư điện tử thường hạn chế độ dài tối đa thơng báo – Ví dụ thường 50 KB • PGP phân thông báo lớn thành nhiều thông báo đủ nhỏ • Việc phân đoạn thơng báo thực sau tất cơng đoạn khác • Bên nhận ghép thông báo nhỏ trước thực công đoạn khác Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 153 https://fb.com/tailieudientucntt Khóa cơng khai/khóa riêng PGP • Người dùng có nhiều cặp khóa cơng khai/khóa riêng – Nhu cầu thay đổi cặp khóa thời – Giao tiếp với nhiều nhóm đối tác khác – Hạn chế lượng thơng tin mã hóa với khóa để nâng cao độ an tồn • Cần khóa cơng khai sử dụng để mã hóa khóa phiên • Cần chữ ký bên gửi tương ứng với khóa cơng khai Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 156 https://fb.com/tailieudientucntt Định danh khóa cơng khai PGP • Để mã cơng khai sử dụng truyền khóa cơng khai với thơng báo – Khơng hiệu • Khóa cơng khai RSA dài hàng trăm chữ số thập phân • Định danh gắn với khóa công khai 64 bit trọng số nhỏ – ID KUa = KUa mod 264 – Xác suất cao khóa cơng khai có định danh Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 157 https://fb.com/tailieudientucntt Khuôn dạng thông báo PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 158 https://fb.com/tailieudientucntt Vịng khóa PGP • Mỗi người dùng PGP có hai vịng khóa – Vịng khóa riêng chứa cặp khóa cơng khai/khóa riêng người dùng thời • Có thể mục định danh khóa cơng khai (Key ID) định danh người dùng (User ID) • Khóa riêng mã hóa sử dụng khóa giá trị băm mật nhập trực tiếp từ người dùng – Vòng khóa cơng khai chứa khóa cơng khai người dùng quen biết với người dùng thời • Có thể mục định danh khóa cơng khai định danh người dùng Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 159 https://fb.com/tailieudientucntt Cấu trúc vịng khóa PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 160 https://fb.com/tailieudientucntt Sơ đồ tạo thông báo PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 161 https://fb.com/tailieudientucntt Sơ đồ nhận thông báo PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 162 https://fb.com/tailieudientucntt Quản lý khóa PGP • Thay dựa CA (cơ quan chứng thực), PGP người dùng CA – Có thể ký cho người dùng quen biết trực tiếp • Tạo nên mạng lưới tin cậy – Tin khóa thân ký – Có thể tin khóa người dùng khác ký có chuỗi chữ ký tới chúng • Mỗi khóa có số tin cậy • Các người dùng thu hồi khóa họ Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 163 https://fb.com/tailieudientucntt Mơ hình tin cậy PGP (1) • Với khóa cơng khai người dùng ấn định độ tin cậy vào chủ nhân trường Owner trust – Giá trị ultimate trust tự động gán khóa cơng khai có vịng khóa riêng – Giá trị người dùng gán unknown, untrusted, marginally trusted, hay completely trusted • Giá trị trường Signature trust chép từ trường Owner trust tương ứng – Nếu khơng có gán giá trị unknown user Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 164 https://fb.com/tailieudientucntt Mơ hình tin cậy PGP (2) • Xác định giá trị trường Key legitimacy – Nếu khóa cơng khai có chữ ký với giá trị Signature trust ultimate Key legitimacy ultimate – Nếu khơng, Key legitimacy tính tổng có trọng số giá trị Signature trust • • • • Các chữ ký completely trusted có trọng số 1/X Các chữ ký marginally trusted có trọng số 1/Y X Y tham số người dùng xác định Nếu tổng số đạt vượt ngưỡng Key legitimacy gán giá trị complete Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 165 https://fb.com/tailieudientucntt Ví dụ mơ hình tin cậy PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 166 https://fb.com/tailieudientucntt Thu hồi khóa cơng khai • Lý thu hồi khóa cơng khai – Địch thủ biết nguyên khóa riêng – Địch thủ biết mã khóa riêng mật – Tránh sử dụng khóa thời gian dài • Quy trình thu hồi khóa cơng khai – Chủ sở hữu phát hành chứng thực thu hồi khóa • Cùng khn dạng chứng thực bình thường bao gồm dấu thu hồi khóa cơng khai • Chứng thực ký với khóa riêng tương ứng khóa cơng khai cần thu hồi – Mau chóng phát tán chứng thực cách rộng rãi để đối tác kịp thời cập nhật vịng khóa cơng khai Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 167 https://fb.com/tailieudientucntt S/MIME • Nâng cấp từ chuẩn khn dạng thư điện tử MIME có thêm tính an ninh thơng tin • MIME khắc phục hạn chế SMTP (Simple Mail Transfer Protocol) – – – – Khơng truyền file nhị phân (chương trình, ảnh, ) Chỉ gửi ký tự ASCII bit Khơng nhận thơng báo vượt q kích thước cho phép • S/MIME có xu hướng trở thành chuẩn cơng nghiệp sử dụng thương mại hành – PGP dùng cho cá nhân Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 168 https://fb.com/tailieudientucntt Các chức S/MIME • Bao bọc liệu – Mã hóa nội dung thơng báo khóa liên quan • Ký liệu – Chữ ký số tạo thành nhờ mã hóa thơng tin tổng hợp thơng báo sử dụng khóa riêng người ký – Thông báo chữ ký số chuyển đổi số 64 • Ký để nguyên liệu – Chỉ chữ ký số chuyển đổi số 64 • Ký bao bọc liệu – Kết hợp ký bao bọc liệu Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 169 https://fb.com/tailieudientucntt Xử lý chứng thực S/MIME • S/MIME sử dụng chứng thực khóa cơng khai theo X.509 v3 • Phương thức quản lý khóa lai ghép cấu trúc phân cấp CA theo X.509 mạng lưới tin cậy PGP • Mỗi người dùng có danh sách khóa thân, danh sách khóa tin cậy danh sách thu hồi chứng thực • Chứng thực phải ký CA tin cậy Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 170 https://fb.com/tailieudientucntt ... định danh khóa cơng khai định danh người dùng Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 159 https://fb.com/tailieudientucntt Cấu trúc vịng khóa PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com... trước thực công đoạn khác Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 153 https://fb.com/tailieudientucntt Sơ đồ xử lý PGP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 154 https://fb.com/tailieudientucntt... Ks = Khóa phiên Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 148 https://fb.com/tailieudientucntt Xác thực bảo mật PGP Nguồn A Nguyễn Đại Thọ Đích B An ninh Mạng CuuDuongThanCong.com 149 https://fb.com/tailieudientucntt