MÃ HểA VÀ XÁC THỰC TRONG VPN 3.1 Giới thiệu
3.3.2.2. Mó xỏc thực bản tin MAC (Message Authentication Code)
Lý do xõy dựng mó xỏc thực bản tin MAC là vỡ bản thõn MD khụng cung cấp bất kỳ bảo vệ nào chống lại việc thay đổi bất hợp phỏp nội dung của bản tin. Khi một người nào đú thay đổi nội dung của bản tin trờn đường truyền thỡ anh ta cú thể tớnh lại giỏ trị hash MD5 hoặc SHA dựa trờn nội dung của bản tin đó thay đổi đú và như vậy tại phớa thu, giỏ trị hash vẫn hoàn toàn hợp lệ.
MAC là phương phỏp bảo vệ chống sửa đổi bất hợp phỏp nội dung của bản tin. MAC được thực hiện dựa trờn hàm băm một chiều kết hợp với khoỏ bớ mật.
Hỡnh 3.6: Xỏc thực tớnh toàn vẹn dữ liệu dựa trờn xỏc thực bản tin MAC
Để giải quyết vấn đề này, MAC sử dụng một khoỏ bớ mật trong quỏ trỡnh tớnh MD của bản tin thỡ mới đảm bảo chống lại những những thay đổi bất hợp phỏp. Phớa phỏt, nơi cú khoỏ bớ mật tạo ra một giản lược thụng điệp hợp lệ (valid MD) và được gọi là mó xỏc thực bản tin MAC. Phớa thu sử dụng khoỏ bớ mật để sử dụng khúa bớ mật để xỏc định tớnh hợp lệ của bản tin bằng cỏch tớnh lại giỏ trị MAC và so sỏnh với giỏ trị MAC mà phớa phỏt truyền tới.
Thụng thường giỏ trị MAC cuối cựng được tạo ra bằng cỏch cắt ngắn giỏ trị hash thu được bởi MD5 (128 bit) hay SHA-1 (160 bit) xuống cũn 96 bit. Mặc dự việc cắt giảm này làm giảm đỏng kể số cỏc tổ hợp cần thử đối với một tấn cụng kiểu brute force, nhưng nú cú tỏc dụng che dấu trạng thỏi bờn trong của thuật toỏn băm và sẽ khú khăn hơn rất nhiều cho kẻ tấn cụng để cú thể đi từ đầu ra của vũng băm thứ hai tới kết quả trung gian của vũng băm thứ nhất.
Phương phỏp mó xỏc thực tớnh toàn vẹn sử dụng MAC cú ưu điểm là thực hiện nhanh và hiệu quả vỡ việc tạo MAC dựa trờn hàm băm tương đối đơn giản, do đú thường được sử dụng để xỏc thực cỏc cụm dữ liệu tốc độ cao (sử dụng cho cỏc gúi tin IPSec). Nhược điểm của phương phỏp này là phớa thu phải biết được khoỏ bớ mật thỡ mới kiểm tra được tớnh toàn vẹn của bản tin, dẫn đến vấn đề phải phõn phối khoỏ một cỏch an toàn.