ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN ĐÀO TẠO SAU ĐẠI HỌC BÁO CÁO MÔN HỌC KỸ THUẬT MẠNG NÂNG CAO Bảo mật thư điện tử Giảng viên: Học viên: Lớp 16AKTVT Hà Nội, tháng 1/2018 MỤC LỤC Trang DANH MỤC HÌNH VẼ MỞ ĐẦU CHƯƠNG 1: GIAO THỨC PGP 1.1 Giới thiệu 1.1.1.Giới thiệu chung giao thức PGP 1.1.2.Mục đích sử dụng PGP .7 1.1.3 Phương thức hoạt động PGP 1.2 Nội Dung 1.2.1.Nhận thực 1.2.2.Bảo mật liệu .10 1.2.3.Kết hợp nhận thực bảo mật liệu .11 1.2.4.Nén liệu 12 1.2.5.Tương thích e-mail 12 1.2.6.Phân đoạn 13 1.2.7.Các dịch vụ PGP .13 CHƯƠNG 2: GIAO THỨC S/MIME .15 2.1 Tổng quan 15 2.1.1 Giới thiệu .15 2.1.2.Chức .16 2.1.3.Các thuật toán mật mã .16 2.1.4 Xử lý chứng S/MIME .16 2.2 Nguyên lý hoạt động S/MIME 17 CHƯƠNG 3: GIAO THỨC DKIM 18 3.1 Tổng quan 18 3.2 Cơ chế hoạt động 18 3.3 Ưu, nhược điểm DKIM 19 LỜI CẢM ƠN 21 DANH MỤC HÌNH VẼ Hình 1.1 Q trình nhận thực 10 Hình 1.2 Bảo mật liệu 11 Hình 1.3 Quá trình mã hóa, giải mã 11 Hình 1.4 Mã hố liệu nhị phân thành khn dạng radix-64 12 Hình 1.5 Mã hố radix-64 13 Hình 1.6 Sơ đồ phát thu abnr tin PGP .14 Hình 2.1 Quá trình bảo vệ E-mail S/MIME bên gửi 17 Hình 2.2 Quá trình nhận E-mail S/MIME bên nhận 17 Hình 3.1 Cơ chế hoạt động DKIM .18 Hình 3.2 Hoạt động khóa bí mật khóa cơng khai DKIM 19 Hình 3.3 Cách thức DKIM chặn thư rác, thư lừa đảo 20 MỞ ĐẦU Ngày nay, mạng Internet trở thành tảng cho trao đổi thơng tin tồn cầu Có thể thấy cách rõ ràng Internet tác động lên nhiều mặt đời sống từ việc tìm kiếm thơng tin, trao đổi liệu đến việc hoạt động thương mại, học tập nghiên cứu làm việc trực tuyến Nhờ Internet mà việc trao đổi thơng tin ngày tiện lợi, nhanh chóng hơn, khái niệm thư điện tử (email) khơng cịn xa lạ với người Là dịch vụ phổ biến Internet, thư điện tử giúp mọi người sử dụng máy tính kết nối Internet trao đổi thơng tin với Tóm lại giao dịch, trao đổi thơng qua thư điện tử Tuy nhiên mơi trường truyền thơng này, ngồi mặt tích cực Internet tiềm ẩn tiêu cực vấn đề bảo vệ thơng tin Do đó, u cầu đặt việc trao đổi thông tin mạng:  Bảo mật tuyệt đối thông tin giao dịch  Đảm bảo tính tồn vẹn thơng tin  Chứng thực tính đắn pháp lí thực thể tham gia trao đổi thơng tin  Đảm bảo thực thể phủ nhận hay chối bỏ trách nhiệm họ hoạt động giao dịch Internet Từ thực tế cần có phương pháp bảo mật thơng tin nhằm cải thiện an tồn Internet Việc tìm giải pháp bảo mật liệu, việc chứng nhận quyền sở hữu cá nhân vấn đề luôn Bảo mật phải nghiên cứu cải tiến để theo kịp phát triển không ngừng sống  Làm để bảo mật liệu?  Làm để tin tức truyền không bị mát hay bị đánh tráo?  Làm để người nhận biết thơng tin mà họ nhận có xác hay khơng? Đã bị thay đổi chưa?  Làm để biết thông tin gửi đến? thuộc quyền sở hữu ai? Những câu hỏi đặt thách thức lớn người nghiên cứu bảo mật Có nhiều cách thức để bảo vệ thông tin đường truyền, nhiều giải pháp đề xuất như: sử dụng mật (password), mã hóa liệu, hay steganography (giấu tồn liệu)… Cùng với phát triển biện pháp bảo mật ngày phức tạp, hình thức cơng ngày tinh vi Do vấn đề đưa giải pháp thích hợp có hiệu theo thời gian phát triển mạnh mẽ khoa học kỹ thuật Trong khuôn khổ báo cáo này, trình bày Các phương pháp ứng dụng để bảo mật thư điện tử CHƯƠNG 1: GIAO THỨC PGP 1.1 Giới thiệu 1.1.1 Giới thiệu chung giao thức PGP PGP viết tắt từ Pretty Good Privacy (Bảo mật mạnh) Mã hóa PGP phần mềm máy tính dùng để mật mã hóa liệu xác thực Phiên PGP Phil Zimmermann công bố vào năm 1991 Kể từ đó, phần mềm có nhiều cải tiến tập đồn PGP cung cấp phần mềm dựa tảng 1.1.2 Mục đích sử dụng PGP Mục đích sử dụng PGP phục vụ cho việc mã hóa thư điện tử, phần mềm mã nguồn mở PGP trở thành giải pháp mã hóa cho cơng ty lớn, phủ cá nhân Các ứng dụng PGP dùng để mã hóa bảo vệ thơng tin lưu trữ máy tính xách tay, máy tính để bàn, máy chủ q trình trao đổ email chuyển file, chữ ký số… 1.1.3 Phương thức hoạt động PGP PGP sử dụng kết hợp mật mã hóa khóa cơng khai thuật tốn khóa đối xứng cộng thêm với hệ thống xác lập mối quan hệ khóa cơng khai danh người dùng (ID) Phiên hệ thống thường biết tên mạng lưới tín nhiệm dự mối quan hệ ngang hàng (khác với hệ thống X.509 với cấu trúc dựa vào nhà cung cấp chứng thực số) Các phiên PGP sau dựa kiến trúc tương tự hạ tầng khóa cơng khai PGP sử dụng thuật tốn mã hóa khóa bất đối xứng Trong hệ thống này, người sử dụng phải có cặp khóa: Khóa cơng khai khóa bí mật Người gửi sử dụng khóa cơng khai người nhận để mã hóa khóa chung (cịn gọi khóa phiên) dùng thuật tốn mật mã hóa khóa đối xứng Khóa phiên chìa khóa để mật mã hóa thông tin gửi qua lại phiên giao dịch Có nhiều khóa cơng khai người sử dụng PGP lưu trữ mác máy chủ khóa PGP khắp giới Một điều vô quan trọng để phát thông điệp có bị thay đổi giả mạo người gửi Để thực mục tiêu người gửi phải ký văn với thuật toán RSA DSA Đầu tiên, PGP tính giá trị hàm băm thơng điệp tạo chữ ký số với khóa bí mật người gửi Khi nhận văn bản, người nhận tính lại giá trị hàm băm văn đồng thời giải mã chữ ký số khóa cơng khai người gửi Nếu hai giá trị giống khẳng định văn chưa bị thay đổi kể từ gửi người gửi người sở hữu khóa bí mật tương ứng Trong q trình mã hóa kiểm tra chữ ký, điều vơ quan trọng khóa cơng khai sử dụng thực thuộc người cho sở hữu Nếu đơn giản download khóa cơng khai từ khơng đảm bảo điều PGP thực việc phân phối khóa thơng qua thực chứng số tạo nên kỹ thuật mật mã cho việc sửa đổi dễ dàng bị phát Tuy nhiên điều thơi chưa đủ ngăn chặn việc sửa đổi sau chứng thực tạo Người dùng cần phải trang bị khả xem xét khóa cơng khai có thực thuộc người chủ sở hữu hay không Từ phiên PGP có chế hỗ trợ điều gọi mạng lưới tín nhiệm Mỗi khóa cơng khai bên thứ xác nhận OpenPGP cung cấp chữ ký tin cậy sử dụng để tạo nhà cung cấp chứng thực số (CA) Một chữ ký tin cậy chứng tỏ khóa thực thuộc người sử dụng người đáng tin cậy để ký xác nhận khóa mức thấp Một chữ ký có mức tương đương với chữ ký mơ hình mạng lưới tín nhiệm Chữ ký mức tương đương với chữ ký CA có khả xác nhận cho số lượng không hạn chế chữ ký mức Chữ ký mức tương tự chữ ký danh sách CA mặc định rong Internet Explorer; cho phép người chủ tạo CA khác PGP thiết kế với khả hủy bỏ thu hồi chứng thực có khả bị vơ hiệu hóa Điều tương đương với danh sách thực chứng bị thu hồi mơ hình hạ tầng khóa cơng khai Các phiên PGP gần hỗ trợ tính hạn thực chứng 1.2 Nội Dung PGP dựa sở dịch vụ: – Nhận thực (Authentication) – Bảo mật liệu (Confidentiality) – Nén liệu (Compression) – Tương thích với hệ thống thư điện tử (E-mail compatibility) – Phân đoạn (Segmentation) Trừ hai dịch vụ Nhận thực Bảo mật liệu, dịch vụ lại suốt với người dùng 1.2.1 Nhận thực Người gửi tạo tin Dùng thuật tốn hàm băm SHA1 để tạo tóm tắt tin (mã Hash) 160-bit Mã Hash mã hoá khoá riêng người gửi (được "ký"), chữ ký gắn vào tin Người nhận giải mã chữ ký khố chung người gửi để phục hồi mã Hash Người nhận tạo mã Hash tin so sánh với mã Hash giải mã Nếu trùng nhau, tin coi nhận thực 10 Hình 1.1 Quá trình nhận thực 1.2.2 Bảo mật liệu Người gửi tạo tin số ngẫu nhiên dùng làm khố phiên để mã hóa tin (khoá phiên dùng lần phiên truyền e-mail loại bỏ) Bản tin mã hoá đối xứng (AES, 3DES, IDEA CAST-128) dùng khố phiên Khố phiên mã hố khố cơng khai (RSA) khoá chung người nhận, sau gắn vào tin trước truyền Người nhận giải mã khố cơng khai (RSA) khố riêng để phục hồi khố phiên Khoá phiên dùng để giải mã tin 11 Hình 1.2 Bảo mật liệu 1.2.3 Kết hợp nhận thực bảo mật liệu Hai dịch vụ kết hợp với (tức tin vừa ký lại vừa mã hố) Q trình mã hố giải mã sau Hình 1.3 Q trình mã hóa, giải mã 12 1.2.4 Nén liệu PGP nén tin: sau ký (dùng hash) để nén liệu cần xác nhận chữ ký nó, trước mã hố để tăng tốc q trình mã hố (dữ liệu cần mã hố hơn), để bảo mật tốt (các tin nén khó thám mã nhiều so với tin chưa nén chúng có phần dư hơn) 1.2.5 Tương thích e-mail PGP thiết kế tương thích với tất hệ thống e-mail PGP thiết kế với e-mail đơn giản nhất, với giả thiết khơng có gắn kèm (attachment) PGP sử dụng sơ đồ biến đổi Radix-64 để mã hoá chuỗi bit đầu hàm mã hoá/nén: Chuỗi bit chia thành khối 6-bit, khối ánh xạ vào ký tự ASCII Radix-64 làm tăng kích thước liệu thêm khoảng 33% Sơ đồ biến đổi radix-64: nhóm octet liệu nhị phân ánh xạ vào ký tự ASCII (phù hợp với đa số hệ thống e-mail) Hình 1.4 Mã hố liệu nhị phân thành khn dạng radix-64 13 Hình 1.5 Mã hố radix-64 1.2.6 Phân đoạn Các giao thức Email thường hạn chế với tin có kích thước khơng q giá trị cực đại (ví dụ: 50KB) Do vậy, PGP tự động chia tin lớn thành phân đoạn nhỏ Các phân đoạn ghép lại đầu thu trước giải mã xác nhận chữ ký 1.2.7 Các dịch vụ PGP 14 Hình 1.6 Sơ đồ phát thu abnr tin PGP 15 CHƯƠNG 2: GIAO THỨC S/MIME 2.1 Tổng quan 2.1.1 Giới thiệu S/MIME chuẩn internet định dạng cho mail Hầu email internet đề truyền giao thức SMTP theo đinh dạng S/MIME chưa có đảm bảo an tồn Ví dụ : người gửi tin nhắn dễ dàng giả mạo , tức email nhận đc mà khơng có người gửi mong muốn hay ko không Thêm vào , email thường khơng mã hóa , có nghĩa người truy cập vào hộp thư cá nhân xem email MIME khắc phục hạn chế SMTP : Khơng truyền file nhị phân (hình ảnh, chương trình…) Chỉ gửi kí tự ASCII 7bit Khơng nhận thơng báo vượt q kích thước cho phép Giao thức S/MIME giải pháp an tồn thư tín điện tử S/MIME đưa vào phương pháp an ninh cho email mã hóa chứng thực Cả hai phương pháp dựa mã hóa bất đối xứng PKI S/MIME cung cấp giải pháp cho q trình gửi nhận liện 7bit S/MIME sử dụng với hệ thống cho phép truyền nhận liệu MIME sử dụng cho phương pháp gửi mail truyền thống có thêm dịch vụ an ninh cho mail gửi giải mã dich vụ an ninh cho bên nhận S/MIME bảo vệ cách thực thể MIME với chữ kí , mã Để tạo tin nhắn S/MIME, dung S/MIME phải tuân theo thông số kĩ thuật cú pháp tin nhắn 16 Các tính webmailClient hỗ trợ S/MIME tính bảo mật, tính xác thực, tính tồn vẹn chống chôi bỏ 2.1.2 Chức - Đưa liệu vào phong bì số Kết hợp mã hố nội dung tin mã hoá khoá - Ký liệu Mã hoá riêng tin MIME ký vào mã Hash tin - Ký khơng cần mã hoá liệu MIME Mã hoá tin gốc (bản tin chưa sử dụng MIME) ký vào mã Hash tin - Ký liệu đưa vào phong bì số Lồng thực thể mã hoá ký với 2.1.3 Các thuật toán mật mã Tạo MD hàm Hash: SHA-1, MD5 Tạo chữ ký số: RSA, DSS Mã hoá đối xứng khoá phiên: RSA, ElGamal (một biến thể thuật toán Diffie-Hellmann) Mã hoá tin: AES, 3DES, thuật toán khác 2.1.4 Xử lý chứng S/MIME S/MIME dùng Chứng X.509 Quá trình xử lý: kết hợp hệ thống cấp chứng theo cập bậc công chứng CA X.509 (X.509 CA hierarchy) với trang Web uỷ quyền 17 Mỗi khách (client) có danh sách chứng CA uỷ quyền cặp chứng khoá chung/riêng Các chứng phải CA (đã uỷ quyền) ký vào có hiệu lực 2.2 Ngun lý hoạt động S/MIME Hình 2.1 Quá trình bảo vệ E-mail S/MIME bên gửi Hình 2.2 Quá trình nhận E-mail S/MIME bên nhận 18 CHƯƠNG 3: GIAO THỨC DKIM 3.1 Tổng quan DKIM (DomainKeys Identified Mail) phương pháp xác thực thư điện tử chữ ký số miền gửi thư, khóa cơng khai thường công bố DNS dạng ghi TXT Phát triển từ phương pháp DK (DomainKeys) Yahoo phương pháp IM (Identified Mail) Cisco, với việc quan IETF cấp tư cách Standards Track, DKIM từ phương pháp xác thực thư điện tử có tiềm DKIM cho phép chế xác thực thư điện tử sử dụng: - Một tên miền xác định - Một cặp khóa cơng khai - Hệ thống phân giải tên miền có khóa cơng khai cập nhật 3.2 Cơ chế hoạt động DKIM sử dụng cặp khóa, cặp khóa tạo từ tên miền gửi thư Cặp khóa bao gồm: 01 khóa cơng khai 01 khóa bí mật Khóa công khai ký MTA(Mail Transfer Agent) cập nhật DNS sever Khóa bí mật sử dụng tất thư điện tử gửi Hình 3.1 Cơ chế hoạt động DKIM 19 Để cấu hình DKIM: - Nhà quản trị mạng tạo khóa cơng khai khóa bí mật cho cho server thơng báo, cập nhật khóa cơng khai lên DNS sever máy chủ tên miền - Sử dụng khóa bí mật để ký với thư điện tử gửi khỏi máy chủ gửi thư Mục đích với thư điện tử gửi ký tức có trường DKIMSignature phần tiêu đề - Máy chủ nhận thư nhận chữ ký DKIM-Signature từ trường tiêu đề xác thực cách sử dụng khóa cơng khai Hình 3.2 Hoạt động khóa bí mật khóa cơng khai DKIM 3.3 Ưu, nhược điểm DKIM DKIM thiết kế đơn giản, dễ thực hiện, giá thành thấp DKIM có ưu điểm sau: - Thư điện tử ký trường tiêu đề tránh nhầm lẫn chữ ký ký phần nội dung thư điện tử - Các máy chủ gửi thư điện tử( mail server) tự tạo cặp khóa cơng khai cặp khóa bí mật cho riêng - Trong suốt thích hợp với sở hạ tầng thư điện tử sẵn có - Khơng địi hỏi nâng cấp sở hạ tầng 20 - Thực máy chủ giảm thời gian triển khai Không thay đổi với người dùng cuối Hình 3.3 Cách thức DKIM chặn thư rác, thư lừa đảo Nhược điểm sử dụng DKIM phải triển khai đồng từ máy chủ gửi thư máy chủ nhận Khó triển khai đồng phạm vi rộng LỜI CẢM ƠN 21 Bám theo nội dung tập lớn, nhóm thực theo nội dung phân công sau: Học viên Công việc phân công Nguyễn Văn Chinh Dịch chapter 7: Bảo mật thư Mức độ hoàn thành Tốt điện tử Trần Thu Hương Dịch chapter 7: Bảo mật thư Tốt điện tử Tổng hợp viết báo cáo Trong nội dung khơng tránh khỏi thiếu sót mong nhận góp ý Thầy Cuối cùng, nhóm xin trân trọng cảm ơn quan tâm, định hướng, hỗ trợ TS Trần Quang Vinh! 22 ... công Nguyễn Văn Chinh Dịch chapter 7: Bảo mật thư Mức độ hoàn thành Tốt điện tử Trần Thu Hương Dịch chapter 7: Bảo mật thư Tốt điện tử Tổng hợp viết báo cáo Trong nội dung không tránh khỏi thiếu... ưu điểm sau: - Thư điện tử ký trường tiêu đề tránh nhầm lẫn chữ ký ký phần nội dung thư điện tử - Các máy chủ gửi thư điện tử( mail server) tự tạo cặp khóa cơng khai cặp khóa bí mật cho riêng... để bảo mật thư điện tử CHƯƠNG 1: GIAO THỨC PGP 1.1 Giới thiệu 1.1.1 Giới thiệu chung giao thức PGP PGP viết tắt từ Pretty Good Privacy (Bảo mật mạnh) Mã hóa PGP phần mềm máy tính dùng để mật