Luận văn An toàn và bảo mật thông tin 1 An toàn và bảo mật thông tin MỞ ĐẦU Ngày nay, việc ứng dụng công nghệ thông tin vào mọi mặt của đời sống đã mang lại những kết quả to lớn cho xã hội, đặc biệt là những ứng dụng của mạng Internet trong thời đại thông tin hiện nay. Thế nhưng những thách thức về bảo mật mạng lại nảy sinh bởi chính bản chất của sự chia sẻ toàn cầu đó. Do vậy làm sao để có những giao dịch trực tuyến an toàn là vấn đề cấp bách và thiết yếu! Vấn đề xác thực trở thành một trong những vấn đề nóng bỏng. Xác thực là xác minh, kiểm tra một thông tin hay một thực thể nào đó để công nhận hoặc bác bỏ tính hợp lệ của thông tin hay thực thể đó. Đây là yêu cầu rất quan trọng trong các giao tiếp cần có sự tin cậy giữa các đối tượng tham gia trao đổ i thông tin. Trên thực tế, có một số hình thức xác thực thực thể như chứng minh thư, giấy phép lái xe, hoặc các giấy tờ cá nhân khác, và xác thực tính an toàn của thông tin như chữ ký, con dấu. Còn chứng chỉ số chính là “chứng minh thư trên thế giới điện tử”. Trong đồ án này nghiên cứu về phương pháp xác thực dùng chứng chỉ số. Đồ án gồm 3 chương: Chương 1: Các khái niệm cơ bản – Trình bày cơ sở toán học và các khái niệm về an toàn và bảo mật thông tin Chương 2: Xác thực bằng chứng chỉ số – Trình về khái niệm, phân loại và cách sử dụng chứng chỉ số trong xác thực điện tử Chương 3: Chương trình mô phỏng – Xây dựng một chương trình mô phỏng sử dụng chứng chỉ số trong xác thực thành viên trên mạng Internet. 2 Chương 1. CÁC KHÁI NIỆM CƠ BẢN 1.1 MỘT SỐ KHÁI NIỆM TOÁN HỌC 1.1.1 Số nguyên tố và nguyên tố cùng nhau Số nguyên tố là số nguyên dương chỉ chia hết cho 1 và chính nó. Ví d ụ : 2, 3, 5, 7, 17, … là những số nguyên tố. Hệ mật mã thường sử dụng các số nguyên tố ít nhất là lớn hơn 10 150 . Hai số m và n được gọi là nguyên t ố cùng nhau nếu ước số chung lớn nhất của chúng bằng 1. Ký hiệu: gcd( m, n ) = 1. Ví d ụ : 9 và 14 là nguyên tố cùng nhau. 1.1.2 Đồng dư thức Cho a và b là các số nguyên tố, n là số nguyên dương thì a được gọi là đồng dư với b theo modulo n nếu n|a-b (tức a - b chia hết cho n, hay khi chia a và b cho n được cùng một số dư như nhau). Số nguyên n được gọi là modulo của đồng dư. Kí hi ệ u : a ≡ b (mod n) Ví d ụ : 67 ≡ 11 (mod 7), bởi vì 67 (mod 7) = 4 và 11 (mod 7) = 4 . Tính ch ấ t c ủ a đồ ng d ư : Cho a, a 1 , b, b 1 , c ∈ Z. Ta có các tính chất: • a ≡ b mod n nếu và chỉ nếu a và b có cùng số dư khi chia cho n. • Tính phản xạ: a ≡ a mod n. • Tính đối xứng: Nếu a ≡ b mod n thì b ≡ a mod n. • Tính giao hoán: Nếu a ≡ b mod n và b ≡ c mod n thì a ≡ c mod n. • Nếu a ≡ a 1 mod n, b ≡ b 1 mod n thì a + b ≡ ( a 1 + b 1 ) mod n và ab ≡ a 1 b 1 mod n. 3 1.1.3 Không gian Z n và Z n * Không gian Z n (các số nguyên theo modulo n) Là tập hợp các số nguyên {0, 1, 2, …, n-1}. Các phép toán trong Z n như cộng, trừ, nhân, chia đều được thực hiện theo module n. Ví d ụ : Z 11 = {0, 1, 2, 3, …, 10} Trong Z 11 : 6 + 7 = 2 , bởi vì 6 + 7 = 13 ≡ 2 (mod 11). Không gian Z n * Là tập hợp các số nguyên p ∈ Z n , nguyên tố cùng n. Tức là: Z n * = {p ∈ Z n | gcd (n, p) =1}, Φ(n) là số phần tử của Z n * Nếu n là một số nguyên tố thì: Z n * = {p ∈ Z n |1 ≤ p ≤ n-1} Ví d ụ : Z 2 = {0, 1} thì Z 2 * = {1} vì gcd(1, 2) = 1. 1.1.4 Phần tử nghịch đảo Đị nh ngh ĩ a: Cho a ∈ Z n . Nghịch đảo của a theo modulo n là số nguyên x ∈ Z n sao cho ax ≡ 1 (mod n) . Nếu x tồn tại thì đó là giá trị duy nhất, và a được gọi là khả nghịch, nghịch đảo của a ký hiệu là a -1 . Tính ch ấ t: • Cho a, b ∈ Z n . Phép chia của a cho b theo modulo n là tích của a và b -1 theo modulo n , và chỉ được xác định khi b có nghịch đảo theo modulo n . • Cho a ∈ Z n , a là khả nghịch khi và chỉ khi gcd( a, n ) = 1. • Giả sử d=gcd ( a, n ) . Phương trình đồng dư ax ≡ b mod n có nghiệm x nếu và chỉ nếu d chia hết cho b , trong trường hợp các nghiệm d nằm trong khoảng 0 đến n - 1 thì các nghiệm đồng dư theo modulo n/d . Ví d ụ : 4 -1 = 7 (mod 9) vì 4.7 ≡ 1 (mod 9) 4 1.1.5 Khái niệm nhóm, nhóm con, nhóm Cyclic Nhóm là bộ các phần tử ( G, * ) thỏa mãn các tính chất: • Kết hợp: ( x * y ) * z = x * ( y * z ) • Tồn tại phần tử trung lập e ∈ G: e * x= x * e = x , ∀ x ∈ G • Tồn tại phần tử nghịch đả o x’ ∈ G: x’ * x = x * x’ = e Nhóm con của nhóm ( G,* ) là bộ các phần tử ( S,* ) thỏa mãn các tính chất: • S ⊂ G , phần tử trung lập e ∈ S . • x, y ∈ S => x * y ∈ S. Nhóm Cyclic: Là nhóm mà mọi phần tử của nó được sinh ra từ một phần tử đặc biệt g ∈ G . Phần tử này được gọi là ph ầ n t ử sinh (nguyên th ủ y) , tức là: Với ∀ x ∈ G: ∃ n ∈ N mà g n = x . Ví d ụ : ( Z + , * ) là nhóm cyclic có phần tử sinh là 1. Đị nh ngh ĩ a : Ta gọi C ấ p của nhóm là số các phần tử trong nhóm đó. Như vậy, nhóm Z n * có cấp Φ (n). Nếu p là số nguyên tố thì nhóm Z p * có cấp là p-1 Đị nh ngh ĩ a : Cho a ∈ Z n * , cấp của a ký hiệu là ord(a) được định nghĩa là số nguyên dương nhỏ nhất t thoả mãn: a t ≡ 1 (mod n) . Ví d ụ: Z 21 * ={1, 2, 4, 5, 8, 10, 11, 13, 16, 17, 19, 20}, Φ (21) = 12 = |Z 21 * | và cấp của từng thành phần trong Z 21 * là: a ∈ Z 21 * 1 2 4 5 8 10 11 13 16 17 19 20 Cấp của a 1 6 3 6 2 6 6 2 3 6 6 2 5 1.1.6 Bộ phần tử sinh (Generator-tuple) { g 1 , ., g k } được gọi là bộ phần tử sinh nếu mỗi g i là một phần tử sinh và những phần tử này khác nhau ( g i ≠ g j nếu i ≠ j) . Ví d ụ : {3, 5} là bộ phần tử sinh của Z 7 * , bởi vì: 1 = 3 6 mod 7 = 5 6 mod 7 2 = 3 2 mod 7 = 5 4 mod 7 3 = 3 1 mod 7 = 5 5 mod 7 4 = 3 4 mod 7 = 5 2 mod 7 5 = 3 5 mod 7 = 5 1 mod 7 6 = 3 3 mod 7 = 5 3 mod 7. 2 không phải là phần tử sinh của Z 7 * , bởi vì: {2, 2 2 , 2 3 , 2 4 , 2 5 , 2 6 } = {2,4,1,2,4,1} <=> {1,2,4} Tuy nhiên {1,2,4} là tập con của {1, 2, 3, 4, 5, 6} = Z 7 * , do đó số 2 được gọi là “phần tử sinh của nhóm G(3)” , G(3) là nhóm có 3 thành phần {1,2,4}. 1.1.7 Bài toán đại diện (Presentation problem) . Gọi g là phần tử sinh của nhóm con G(q) thuộc Z n * . Bài toán logarit rời rạc liên quan đến việc tìm số mũ a , sao cho: a = log g h mod n (với h ∈ G(q)). Cho k >= 2, 1<= a i <= q, i = 1 …k. Bài toán đạ i di ệ n là: cho h thuộc G(q), tìm { a 1 , . , a k }, của bộ phần tử sinh {g 1 , . , g k } , sao cho: ngggh k a k aa mod* ** 21 21 = { a k , . , a k } được gọi là đạ i di ệ n (representation) . 6 Ví d ụ : Cho tập Z * 23 , thì ta có thể tìm được: nhóm con G(11) ={1, 2, 3, 4, 6, 8, 9, 12, 13, 16, 18} với những phần tử sinh g i là: 2 , 3 , 4, 6, 8, 9, 12, 13, 16, 18. {2, 3} là 2 phần tử sinh của nhóm con G(11) trong Z * 23 . Bài toán đại diện là với h = 13 ∈ G(11), tìm {a 1 , a 2 } sao cho: 23mod3*213 21 aa = Logarit hai vế, có a 1 *log (2) + a 2 *log (3) = log (13) mod 23. Kết quả là: a 1 = 2 và a 2 = 2, vì 2 2 * 3 2 = 4*9 = 36 = 13 mod 23. Hay a 1 = 7 và a 2 = 11, vì 2 7 * 3 11 = 128*177147 = 13 mod 23. 7 1.1.8 Hàm băm. • Hàm băm h là hàm một chiều (one-way hash) với các đặc tính sau: • Với thông điệp đầu vào x thu được bản băm z = h ( x ) là duy nhất. • Nếu dữ liệu trong thông điệp x thay đổi hay bị xóa để thành thông điệp x ’ thì h ( x ’) ≠ h ( x ). Cho dù chỉ là một sự thay đổi nhỏ hay chỉ là xóa đi 1 bit dữ liệu của thông điệp thì giá trị băm cũng vẫn thay đổi. Điều này có nghĩa là: hai thông điệp hoàn toàn khác nhau thì giá trị hàm băm cũng khác nhau. • Nội dung của thông điệp gốc “ khó” suy ra từ giá trị hàm băm. Nghĩa là: với thông điệp x thì dễ dàng tính được z = h ( x ), nhưng lại “khó” suy ngược lại được x nếu chỉ biết giá trị hàm băm h ( x ). Tính ch ấ t: - Hàm băm h là không va chạm yếu: Nếu cho trước một bức điện x, thì không thể tiến hành về mặt tính toán để tìm ra một bức điện x’ ≠ x mà h(x’) = h(x). - Hàm băm h là không va chạm mạnh: Nếu không có khả năng tính toán để tìm ra hai bức thông điệp x và x’ mà x ≠ x’ và h(x) = h(x’). 8 1.2 CÁC KHÁI NIỆM VỀ MÃ HOÁ. 1.2.1 Khái niệm mã hóa. Ta biết rằng tin truyền trên mạng rất dễ bị lấy cắp. Để đảm bảo việc truyền tin an toàn người ta thường mã hoá thông tin trước khi truyền đi. Việc mã hoá thường theo quy tắc nhất định gọi là hệ mật mã. Hiện nay có hai loại hệ mật mã mật mã cổ điển và mật mã khoá công khai. Mật mã cổ điển dễ hiểu, dễ thực thi nhưng độ an toàn không cao. Vì giới hạn tính toán ch ỉ thực hiện trong phạm vi bảng chữ cái sử dụng văn bản cần mã hoá (ví dụ Z 26 nếu dùng các chữ cái tiếng anh, Z 256 nếu dùng bảng chữ cái ASCII .). Với các hệ mã cổ điển, nếu biết khoá lập mã hay thuật toán thuật toán lập mã, người ta có thể "dễ" tìm ra được bản rõ. Ngược lại các hệ mật mã khoá công khai cho biết khoá lập mã K và hàm lập mã C k thì cũng rất "khó" tìm được cách giải mã. 1.2.1.1. Hệ mã hóa. Hệ mã hóa là hệ bao gồm 5 thành phần ( P, C, K, E, D ) thỏa mãn các tính chất sau: P (Plaitext): là tập hợp hữu hạn các bản rõ có thể. C (Ciphertext): Là tập hữu hạn các bản mã có thể K (Key): Là tập hợp các bản khoá có thể E (Encrytion): Là tập hợp các quy tắc mã hoá có thể D (Decrytion): Là tập hợp các quy tắc giải mã có thể. Chúng ta đã biết một thông báo thường được xem là bản rõ. Người gửi sẽ làm nhi ệm vụ mã hoá bản rõ, kết quả thu được gọi là bản mã. Bản mã được gửi đi trên đường truyền tới người nhận. Người nhận giải mã để tìm hiểu nội dung bản rõ. Dễ dàng thấy được công việc trên khi định nghĩa hàm lập mã và hàm giải mã: E k (P) = C và D k (C) = P 9 1.2.1.2 Những khả năng của hệ mật mã. • Cung cấp một mức cao về tính bảo mật, tính toàn vẹn, chống chối bỏ và tính xác thực. • Tính bảo mật: Bảo đảm bí mật cho các thông báo và dữ liệu bằng việc che dấu thông tin nhờ các kỹ thuật mã hoá. • Tính toàn vẹn: Bảo đảm với các bên rằng bản tin không bị thay đổi trên đường truyền tin. • Chống chối bỏ : Có thể xác nhận rằng tài liệu đã đến từ ai đó, ngay cả khi họ cố gắng từ chối nó. • Tính xác thực: Cung cấp hai dịch vụ: o Nhận dạng nguồn gốc của một thông báo và cung cấp một vài bảo đảm rằng nó là đúng sự thực. o Kiểm tra định danh của người đang đăng nhập một hệ thống, tiếp tục ki ểm tra đặc điểm của họ trong trường hợp ai đó cố gắng kết nối và giả danh là người sử dụng hợp pháp. [...]... khác, và xác thực tính an toàn của thông tin như chữ ký, con dấu Xác thực điện tử Xác thực điện tử là việc xác minh từ xa bằng các phương tiện điện tử sự tồn tại chính xác và hợp lệ danh tính của chủ thế nào đó, cũng như lớp thông tin nào đó mà không cần biết nội dung cụ thể của thông tin và chủ thể đó, bằng cách chỉ thông qua thông tin đặc trưng cho chủ thể hoặc thông tin để bảo bảo đảm tính bí mật. .. của chủ thế hoặc thông tin cần chứng minh Mục đích của việc xác thực điện tử: chống giả mạo, chống chối bỏ, đảm bảo tính toàn vẹn, tính bí mật, tính xác thực của thông tin và mục đích cuối cùng là hoàn thiện các giải pháp an toàn thông tin Cơ sở ứng dụng để xây dựng các giải pháp an toàn cho xác thực điện tử là các hệ mật mã Ứng dụng trong: thương mại điện tử, trong các hệ thống thanh toán trực tuyến,... ứng dụng, theo số liệu điều tra công bố vào tháng 8/2003 của tổ chức OASIS (Organization for the Advancement of Structured Information Standard): • 24,1% sử dụng trong việc ký vào các dữ liệu điện tử; • 16,3% sử dụng để đảm bảo cho e-mail; • 13,2% dùng trong thương mại điện tử; • 9,1% sử dụng để bảo vệ WLAN; • 8% sử dụng đảm bảo an toàn cho các dịch vụ web; 21 • 6% sử dụng bảo đảm an toàn cho Web Server;... sự tiện lợi trong đời sống qua trao đổi thông tin, các giao dịch trên mạng là một sức mạnh ngày càng được khẳng định và không thể phủ nhận Do vậy cần đảm bảo những tính chất quan trọng và cần thiết của thông tin trong giao dịch trực tuyến như: + Tính bí mật (confidentiality) : Thông tin chỉ được tiết lộ cho những ai được phép + Tính toàn vẹn (integrity): Thông tin không thể bị thay đổi mà không bị phát... hoặc nhận thông tin Và xác thực là một trong những vấn đề nóng bỏng Xác thực là xác minh, kiểm tra một thông tin hay một thực thể nào đó để công nhận hoặc bác 20 bỏ tính hợp lệ của thông tin hay thực thể đó Đây là yêu cầu rất quan trọng trong các giao tiếp cần có sự tin cậy Xác thực bao gồm 2 việc chính: + Xác thực tính hợp lệ của các thực thể tham gia giao tiếp + Xác thực tính bảo mật của thông tin được... thực dựa trên tên truy nhập và mật khẩu: Với hình thức tất cả các khách hàng nếu muốn truy cập vào máy chủ thì phải có tên truy cập và mật khẩu, máy chủ dịch vụ sẽ quản lý những tên và mật khẩu đó Có thể tham khảo sơ đồ sau: Hình 1: Sơ đồ xác thực dựa vào mật khẩu + Xác thực dựa vào chứng chỉ số: Ở hình thức xác thực này, máy khách ký số vào dữ liệu, sau đó gửi chữ ký số và chứng chỉ số qua mạng Máy... gia đang trong quá trình hình thành và phát triển thương mại điện tử (TMĐT) Theo Vnexpress: “Theo thống kê chưa đầy đủ, đến năm 2003, Việt Nam mới có hơn 3.000 doanh nghiệp (trong hơn 132.000 doanh nghiệp đã đăng ký kinh doanh) có website riêng và vài nghìn doanh nghiệp đăng ký quảng cáo trên mạng Internet Trong số đó, cũng chỉ mới có 5% doanh nghiệp quan tâm đến thương mại điện tử và khoảng 7-8% doanh... lập, có uy tín cấp cho người đăng kí, là một tệp tin điện tử chứa thông tin cá nhân của người đăng kí, chứa khóa công khai của người đăng kí nhằm mục đích chứng nhận trên mạng đích thực bạn là ai đảm bảo cho các giao dịch trực tuyến an toàn và bảo mật, hoặc để xem xét quyền sử dụng tài nguyên trực tuyến của bạn và đây cũng là cơ sở pháp lý khi xảy ra tranh chấp Vậy nói cho cùng, Chứng chỉ số là một công... hiện nay số doanh nghiệp quan tâm tới việc áp dụng CNTT vào kinh doanh cũng đã tăng mạnh, nhưng hầu hết chỉ dừng ở mức giới thiệu về doanh nghiệp và sản phẩm, giao dịch trực tuyến là rất ít Nguyên nhân thì có nhiều, nhưng một lý do quan trọng là chúng ta, cũng như cả thế giới, đang phải đứng trước những thách thức to lớn về bảo mật khi tham gia vào quá trình này Nhưng các cơ hội kinh doanh, sự tiện... phép mang thêm thông tin về định danh đối tượng , thông tin về thuộc tính khóa, thông tin về chính sách… 31 2.2.5.1 Khuôn dạng chứng chỉ số X.509 ver 1, ver 2 Hình 5: Khuôn dạng chứng chỉ số V1,2 Trong đó tên duy nhất của đối tượng và tên CA mới được bổ sung trong V2 32 2.2.5.2 Đặt tên trong X.509 ver 1, ver 2 Thông tin được lưu trữ trong các thư mục X509 gồm một nhiều thực thể, mỗi thực thể liên quan . Luận văn An toàn và bảo mật thông tin 1 An toàn và bảo mật thông tin MỞ ĐẦU Ngày nay, việc ứng dụng công nghệ thông tin vào mọi mặt của đời sống đã mang. bỏ và tính xác thực. • Tính bảo mật: Bảo đảm bí mật cho các thông báo và dữ liệu bằng việc che dấu thông tin nhờ các kỹ thuật mã hoá. • Tính toàn vẹn: Bảo