Bài giảng cung cấp các kiến thức liên quan đến các vấn đề ứng dụng mật mã trong an ninh mạng, trong đó tập trung vào các nội dung: các ứng dụng xác thực; an toàn thư điện tử; an toàn web.
HỌC VIỆN KỸ THẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ CƯƠNG BÀI GIẢNG HỌC PHẦN: MÃ HÓA Bộ môn: An ninh mạng Giáo viên: 1) Nguyễn Hiếu Minh 2) Nguyễn Đức Thiện Bài (chương, mục): Chương 7: Các ứng dụng mật mã an ninh mạng Thời lượng: - GV giảng: tiết - Thảo luận: - Thực hành: - Bài tập: tiết - Tự học: tiết Mục đích, yêu cầu: Mục đích: Bài giảng cung cấp kiến thức liên quan đến vấn đề unưg dụng mật mã an ninh mạng, tập trung vào nội dung sau: - Các ứng dụng xác thực - An toàn thư điện tử - An toàn Web Yêu cầu: - Học viên tham gia học tập đầy đủ - Nghiên cứu trước nội dung có liên quan đến giảng (đã có http:// http:/fit.mta.edu.vn/~minhnh/) - Tham gia thảo luận thực tập lớp Nội dung: a) Nội dung chi tiết: (công thức, định lý, hình vẽ) Tiết 1: Các ứng dụng xác thực - Bên cạnh vấn đề trao đổi khóa, vấn đề xác thực đối tượng cần quan tâm Khái niệm xác thực đối tượng cho phép ngăn chặn giả mạo Nhờ xác thực đối tượng, A tin tưởng thực truyền thông với B - Một số giao thức mô tả cung cấp khả xác thực đối tượng trao đổi khóa - Kerberos - Kerberos dịch vụ xác thực phân tán bắt nguồn từ dự án Athena MIT Giao thức cung cấp khả xác thực thiết lập khóa nhờ sử dụng mật mã khóa bí mật bên thứ ba tin cậy - Kerberos thiết kế để xác thực đầu cuối (clients) cố gắng truy nhập tới máy chủ (servers) mạng Một trung tâm có vai trò xác thực thực server tin cậy gọi server xác thực Kerberos (Kerberos Authentication Server, AS) Hình trình bày sơ đồ tổng quan dịch vụ Kerberos Bộ môn An ninh mạng 2) Hệ thống AS xác nhận quyền truy nhập vào sở liệu cấp phát giấy phép + khóa phiên Tất mã hóa khóa tạo sở mật người sử dụng Một lần/mỗi phiên giao dịch Máy chủ xác thực (AS) 1) Người sử dụng máy trạm để yêu cầu dịch vụ máy chủ Yêu cầu giấy phép để truy nhập vào TGS Giấy phép + Khóa phiên Yêu cầu giấy phép để truy nhập vào máy chủ Giấy phép + Khóa phiên Một lần/mỗi dạng 3) Máy trạm yêu cầu dịch vụ mật người sử dụng sử dụng mật để giải mã tin tức nhận, sau gửi Yêu cầu dịch vụ giấy chứng nhận, gồm tên người sử dụng, địa Xác nhận dịch vụ mạng thời gian cho TGS Một lần/mỗi phiên dịch vụ 5) Máy trạm gửi giấy chứng nhận cho máy chủ - Máy chủ cấp phát giấy phép (TGS) 4) TGS giải mã giấy phép yêu cầu, sau cấp giấy phép để truy nhập vào máy chủ + Khóa phiên 6) Máy chủ xác minh phù hợp giấy chứng nhận, sau cho phép truy nhập vào dịch vụ Nếu chứng nhận lẫn yêu cầu, máy chủ quay trở lại giấy chứng nhận Hình Sơ đồ tổng quan mơ tả bước thực Kerberos Mô tả giao thức: - A chọn giá trị rA ngẫu nhiên gửi (A, B, rA) tới AS - AS sinh khóa phiên k tạo thẻ t = (A, k, l), l xác định chu kỳ hợp lệ (thời gian bắt đầu kết thúc) cho thẻ AS gửi EK A k , rA , l , B , EKB t tới A - A khôi phục k, rA, l, B xác thực rA B phù hợp với giá trị bước Sau A tạo thơng tin xác thực a = (A, tA), tA nhãn thời gian từ đồng hồ cục A gửi EK a , EK B t tới B - B khôi phục t = (A, k, l) a = (A, tA) xác thực rằng: o Định đanh A thẻ phù hợp với giá trị thông tin xác thực o Nhãn thời gian tA làm với giá trị đồng hồ cục B o Nhãn thời gian tA hợp lệ chu kỳ l - Nếu thực thêm việc xác thực B tới A, bước thực - B nhận tA gửi Ek(tA) tới A - A khôi phục tA từ Ek(tA) kiểm tra phù hợp với giá trị tA gửi bước Nếu B xác thực tới A Tiết 2: An toàn thư điện tử - Giao thức S/MIME: - S/MIME chuẩn internet định dạng cho mail Hầu email internet truyền qua giao thức SMTP theo định dạng MIME chưa có đảm bảo an tồn Ví dụ, người gửi tin nhắn dễ dàng giả mạo, tức email nhận mà khơng có người mà mong muồn nhận tin hay tin nhắn có bị giả mạo hay khơng Thêm vào đó, email thường khơng mã hóa, có nghĩa người truy cập vào hộp thư cá nhân xem email Bộ môn An ninh mạng - - - - MIME khắc phục hạn chế SMTP (Simple Mail Transfer Protocol) o Không truyền file nhị phân (chương trình, ảnh, ) o Chỉ gửi ký tự ASCII bit o Không nhận thơng báo vượt q kích thước cho phép Giao thức S/MIME giải pháp an toàn thư điện tử S/MIME đưa vào hai phương pháp an ninh cho email mã hóa chứng thực Cả hai phương pháp dựa mã hóa bất đối xứng PKI S/mime cung cấp giải pháp cho trình gửi nhận liệu bit S/mime sử dụng với hệ thống cho phép truyền nhận liệu MIME Nó sử dụng cho phương pháp gửi mail truyền thống có thêm dịch vụ an ninh cho mail gửi giải mã dịch vụ an ninh cho bên nhận S/MIME bảo vệ thực thể MIME với chữ ký, mã hai Để tạo tin nhắn s/mime, Người dùng s/mime phải tuân theo thông số kỹ thuật cú pháp tin nhắn Các tính webmail client hỗ trợ S/MIME tính bảo mật, tính xác thực, tính tồn vẹn, tính chống chối từ Hình Quá trình bảo vệ E-mail S/MIME bên gửi Hình Quá trình nhận E-mail S/MIME bên nhận Bộ môn An ninh mạng - Giao thức PGP: Hình Quá trình bảo vệ E-mail PGP bên gửi Hình Quá trình nhận E-mail PGP bên nhận Tiết 3: An toàn WEB - Việc kết nối Web browser tới điểm mạng Internet qua nhiều hệ thống độc lập mà khơng có bảo vệ với thông tin Bộ môn An ninh mạng - - - - - đường truyền Không kể người sử dụng lẫn Web server có kiểm soát đường liệu hay kiểm sốt liệu có thâm nhập vào thơng tin đường truyền Để bảo vệ thông tin mật mạng Internet hay mạng TCP/IP nào, SSL kết hợp yếu tố sau để thiết lập giao dịch an tồn: o Xác thực: đảm bảo tính xác thực trang mà bạn làm việc đầu kết nối Cũng vậy, trang Web cần phải kiểm tra tính xác thực người sử dụng o Mã hố: đảm bảo thơng tin bị truy cập đối tượng thứ ba Để loại trừ việc nghe trộm thông tin “ nhạy cảm” truyền qua Internet, liệu phải mã hố để khơng thể bị đọc người khác người gửi người nhận o Tồn vẹn liệu: đảm bảo thơng tin khơng bị sai lệch phải thể xác thông tin gốc gửi đến Với việc sử dụng SSL, Web site cung cấp khả bảo mật thơng tin, xác thực tồn vẹn liệu đến người dùng SSL tích hợp sẵn vào browser Web server, cho phép người sử dụng làm việc với trang Web chế độ an toàn Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa xuất trạng thái cửa sổ browser dòng “http” hộp nhập địa URL đổi thành “https” Một phiên giao dịch HTTPS sử dụng cổng 443 thay sử dụng cổng 80 dùng cho HTTP Giao thức SSL: Được phát triển Netscape, ngày giao thức Secure Socket Layer (SSL) sử dụng rộng rãi World Wide Web việc xác thực mã hoá thông tin client server Tổ chức IETF (Internet Engineering Task Force ) chuẩn hoá SSL đặt lại tên TLS (Transport Layer Security) Mặc dù có thay đổi tên TSL phiên SSL Phiên TSL 1.0 tương đương với phiên SSL 3.1 Tuy nhiên SSL thuật ngữ sử dụng rộng rãi SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP (Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) FTP (File Transport Protocol) Trong SSL sử dụng để hỗ trợ giao dịch an toàn cho nhiều ứng dụng khác Internet, SSL sử dụng cho giao dịch Web SSL khơng phải giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: Xác thực server: Cho phép người sử dụng xác thực server muốn kết nối Lúc này, phía browser sử dụng kỹ thuật mã hố cơng khai để chắn certificate public ID server có giá trị cấp phát CA (certificate authority) danh sách CA đáng tin cậy client Điều quan trọng người dùng Ví dụ gửi mã số credit card qua mạng người dùng thực muốn kiểm tra liệu server nhận thơng tin có server mà họ định gửi đến khơng Xác thực Client: Cho phép phía server xác thực người sử dụng muốn kết nối Phía server sử dụng kỹ thuật mã hố cơng khai để kiểm tra xem certificate public ID server có giá trị hay khơng cấp phát CA (certificate authority) danh sách CA đáng tin cậy server không Điều quan trọng Bộ môn An ninh mạng nhà cung cấp Ví dụ ngân hàng định gửi thơng tin tài mang tính bảo mật tới khách hàng họ muốn kiểm tra định danh người nhận - Mã hoá kết nối: Tất thông tin trao đổi client server mã hoá đường truyền nhằm nâng cao khả bảo mật Điều quan trọng hai bên có giao dịch mang tính riêng tư Ngoài ra, tất liệu gửi kết nối SSL mã hố cịn bảo vệ nhờ chế tự động phát xáo trộn, thay đổi liệu ( thuật tốn băm – hash algorithm) - Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL - Các thuật toán mật mã SSL: o DES (Data Encryption Standard): thuật tốn mã hố có chiều dài khoá 56 bit o 3-DES (Triple-DES): thuật tốn mã hố có độ dài khố gấp lần độ dài khoá mã hoá DES o DSA (Digital Signature Algorithm): phần chuẩn xác thực số o KEA (Key Exchange Algorithm): thuật toán trao đổi khoá o MD5 (Message Digest algorithm): phát thiển Rivest o RSA: thuật toán mã hoá cơng khai dùng cho q trình xác thực mã hoá liệu Rivest, Shamir, and Adleman phát triển o RSA key exchange: thuật toán trao đổi khoá dùng SSL dựa thuật toán RSA o RC2 and RC4: thuật toán mã hoá phát triển Rivest dùng cho RSA Data Security o SHA-1 (Secure Hash Algorithm): thuật toán băm b) Nội dung thảo luận Tiết 4: - Giao thức Kerberos - An toàn thư điện tử - Giao thức S/MIME - Giao thức PGP - Các thuật toán mật mã liên quan - An toàn WEB - Giao thức SSL/TLS - Ngun tắc chương trình hóa mơ hình trao đổi khóa c) Nội dung tự học - Một số giao thức xác thực khóa khác - Tìm hiểu sâu giải pháp bảo vệ an toàn thư điện tử - Tìm hiểu sâu giải pháp cơng bảo vệ WEB d) Bài tập (bắt buộc, mở rộng): Tiết + 6: Bắt buộc: - Xây dựng chương trình mơ giao thức: o Giao thức Kerberos o Giao thức S/MIME Bộ môn An ninh mạng o Giao thức PGP - Mở rộng: - Xây dựng chương trình mơ giao thức: o Giao thức SSL/TLS o Giao thức thư điện tử: SMTP, IMAP, POP3 Tài liệu tham khảo (sách, báo – chi tiết đến chương, mục, trang) - Bài 7: Slide giảng giáo viên - Chương 14, 15, 17, Phần 3: William Stallings, “Cryptography and Network Security Principles and Practices”, Prentice Hall, 2005 - Chương 11, 12, Phần 4: Wenbo Mao, “Modern Cryptography: Theory and Practice”, Prentice Hall, 2004 - Chương 7, 8, 9: Man Young Rhee, “Internet Security Cryptographic Principles, Algorithms and Protocols”, Wiley, 2003 - Chương 8: Douglas Stinson, “Cryptography: Theory and Practice”, CRC Press, CRC Press LLC, ISBN: 0849385210, Pub Date: 03/17/95 Câu hỏi ôn tập - Giao thức Kerberos - An toàn thư điện tử - Giao thức S/MIME - Giao thức PGP - Các thuật tốn mật mã liên quan - An tồn WEB - Giao thức SSL/TLS - Một số giao thức xác thực khóa khác - Tìm hiểu sâu giải pháp bảo vệ an tồn thư điện tử - Tìm hiểu sâu giải pháp công bảo vệ WEB - Ngun tắc chương trình hóa giao thức Bộ môn An ninh mạng ...2) Hệ thống AS xác nhận quyền truy nhập vào sở liệu cấp phát giấy phép + khóa phiên Tất mã hóa khóa tạo sở mật người sử dụng Một lần/mỗi phiên giao dịch Máy chủ xác thực (AS) 1) Người... pháp an toàn thư điện tử S/MIME đưa vào hai phương pháp an ninh cho email mã hóa chứng thực Cả hai phương pháp dựa mã hóa bất đối xứng PKI S/mime cung cấp giải pháp cho trình gửi nhận liệu bit... Các thuật toán mật mã SSL: o DES (Data Encryption Standard): thuật tốn mã hố có chiều dài khoá 56 bit o 3-DES (Triple-DES): thuật toán mã hố có độ dài khố gấp lần độ dài khoá mã hoá DES o DSA (Digital