10.2.4.1 Nguyờn lớ mó húa cụng khai
Trong khi thu t toỏn mó hoỏ c n dựng m t khoỏ chung cho mó hoỏ và gi i mó thỡ ph ng phỏp mó hoỏ b ng khoỏ cụng khai s d ng hai khoỏ cú quan h v i nhau trong thu t toỏn ng d ng trong mó hoỏ/gi i mó. Cỏc thu t toỏn này cú c tr ng quan tr ng là khú cú th tớnh toỏn b ng mỏy tỡm ra c khoỏ gi i mó n u ch bi t c khoỏ mó hoỏ và ph ng phỏp mó hoỏ.
P 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25
t s cỏc thu t toỏn mó húa cụng khai (nh RSA ch ng h n) cũn cú m t c tr ng n a là kh n ng hoỏn i vai trũ gi a c p khoỏ. Cú ngh a là khi khoỏ này dựng mó hoỏ thỡ khoỏ kia dựng gi i mó và ng c l i.
Hỡnh sau mụ t nguyờn lớ quỏ trỡnh mó hoỏ/gi i mó b ng khoỏ cụng khai :
Thông điệp Mã hoá Thông điệp
User A User B
Hỡnh 10-5. Quỏ trỡnh mó hoỏ/gi i mó b ng khoỏ cụng khai.
Quỏ trỡnh mó hoỏ/gi i mó nh sau:
b. M i h th ng cu i trong m t m ng t o ra m t c p khoỏ dựng mó hoỏ và gi i mó thụng tin khi nh n c chỳng.
c. M i h th ng ph i cú 2 khúa, khúa cụng khai và khúa bớ m t, khoỏ cụng khai c cụng b lờn m ng t i n i cho phộp ng kớ cụng c ng ho c a vào file. Khoỏ cũn l i ph i c gi bớ m t tuy t i.
d. N u A mu n g i thụng p cho B, A s dựng khoỏ cụng khai c a B trờn m ng mó hoỏ nú r i g i.
e. Khi B nh n c thụng p c a A, B s dựng khoỏ riờng c a mỡnh gi i mó thụng p nh n c. Khụng ai cú th gi i mó thụng p
c vỡ ch cú m t mỡnh B bi t khoỏ gi i mó.
Thụng tin v khoỏ ph i c gi an toàn tuy t i và cú th c p nh t ho c thay i l i khoỏ c . Vi c t o ra cỏc h th ng b o v và qu n lớ khoỏ c ng c n h t
c ch t ch .
10.2.4.2 Ph ng phỏp mó húa RSA
n thuy t trỡnh u tiờn c a Diffe và Hellman a ra n m 1976 t i h i ngh MIT và g n nh ngay l p t c, s thỏch th c v v n mó hoỏ ó tỡm c cõu tr
i b i h th ng mó hoỏ cụng khai. M t trong nh ng cõu tr l i u tiờn a ra vào m 1977 b i Ron Rivest, Adi Shamir và Len Adltụian c cụng b vào n m 1978
Thu t toỏn gi i mó Thu t toỏn mó húa Khúa riờng a B Khúa cụng khai a B
(g i t t là rsa). ý t ng RSA tr thành g n nh c tụn và c s d ng r ng rói trong ph ng phỏp mó hoỏ b ng khoỏ cụng khai.
Gi s ta cú : n b n g c : M = M1 M2 ... Mk n b n mó húa : C = C1 C2 ... Ck , trong ú Ci = E i M mod n, n là tớch 2 s nguyờn t b t kỡ p và q.
Thu t toỏn RSA dựng thuy t s phỏt tri n ph ng phỏp phỏt sinh m t c p cỏc s nguyờn t - cỏc khoỏ, thu t toỏn d a trờn nh n xột:Cú th d dàng sinh ra 2 nguyờn t l n và khi nhõn chỳng v i nhau thỡ r t khú khi mu n phõn tớch tớch c a chỳng thành th a s và khú cú th tỡm c s cũn l i t s kia.
Theo m t h qu c a nh lớ Euler a ra:Cho 2 s nguyờn t p và q và hai s nguyờn n và m n=p.q và 0<m<n, t n t i m t s nguyờn duy nh t k sao cho:
(mkφ(n)+1 = mk(p-1)(q-1)+1) mod m = n
trong ú φ(n) là hàm Euler v i giỏ tr s nh h n n và cú quan h nguyờn t i n, φ(n)=(p-1)(q-1).
Do ú ta cú th t c k t qu mong mu n n u: ED = kφ(n) + 1 u này t ng ng v i: ED modφ(n) = 1.
Thu t toỏn RSA c mụ t nh sau: 1. Ch n 2 s nguyờn t p, q. 2. Tớnh tớch n = p*q
3. Tớnhφ(n) = (p-1)(q-1)
4. Ch n E th a USCLN(φ (n), E) = 1 ; i 1< E <φ (n)
5. Tỡm D th a DE modφ (n) = 1.
Khoỏ cụng khai là KE = {E,n}, khoỏ riờng là KD = {D,n} ho c ng c l i. Gi s r ng user A cụng b khoỏ cụng khai KE lờn m ng và user B mu n g i thụng p cho user A :
- B s dựng khúa cụng khai c a user A mó hoỏ thụng p c a mỡnh b ng cụng th c C = ME mod n, r i g i nú i.
- User A s nh n c thụng p ó mó hoỏ và gi i mó nú b ng khoỏ riờng c a mỡnh b ng cụng th c M = CD mod n
Vớ d : Ch n p =7, q =17
φ(n) = (p-1)*(q-1) = 96
Ch n E th a : USCLN(E, 96) = 1. Ta ch n E = 5.
Tỡm D th a : D*E mod 96 = 1 và D < 96 , suy ra D =77. Ta c KE = {5,119} , KD = {77,119}.
Gi s M = 19. Quỏ trỡnh mó hoỏ: C = 195 mod 119 = 66. Quỏ trỡnh gi i mó: M = 6677 mod 119 = 19.
10.2.4.3 Cỏc v n n y sinh trong thu t toỏn
1. V n ph c t p trong tớnh toỏn.
Trong quỏ trỡnh mó hoỏ và gi i mó, thu t toỏn RSA phỏt sinh ra cỏc s nguyờn t l n, cho dự cú phộp chia modulo n. Rivest, Shamir và Adltụian ngh r ng cỏc p và q ph i cú dài trờn 100 ch s m b o an toàn g n nh tuy t i. Nh y s lu th a quỏ l n và sau ú cho dự cú chia modulo n thỡ k t qu trung gian ng s kh ng l và r t d d n n tràn s . Ta cú th ng d ng tớnh ch t c a phộp chia modulo sau:
((a mod n) * (b mod n)) mod n = (a * b) mod n
Do ú, chỳng ta cú th làm gi m k t qu trung gian trong phộp chia này i. u này làm cho cỏc phộp toỏn tr nờn kh thi h n.
2. V n b khoỏ
i thu t toỏn thay th và hoỏn v , v m t lớ thuy t khi dài c a khoỏ càng n thỡ m c an toàn càng cao, nh ng nh ng ng i gi i mó giàu kinh nghi m v n cú th phõn tớch t n s xu t hi n c a m t s kớ t xỏc nh hay t h p c a chỳng
ú suy ra khoỏ và th c hi n gi i mó. Trong thu t toỏn RSA khoỏ KE(E,n) là khoỏ cụng khai nờn ta khụng c n gi bớ m t, ta ch gi bớ m t cho khoỏ riờng KD(D,n). Vỡ v y, b khúa ph i xỏc nh c D t cỏc giỏ tr E và n. Theo nh cỏch ch n cỏc s E và D, u này cú th làm c n u cú th phõn tớch n thành tớch c a hai s nguyờn t . Nh v y tớnh an toàn c a thu t toỏn RSA ph thu c vào s khú kh n c a vi c xỏc nh cỏc th a s nguyờn t c a m t s nguyờn t l n. Hi n nay n u s
ng thu t toỏn phõn tớch th a s nhanh nh t c a Schroeppel thỡ c ng c n n : S = exp [( ln n ) ln ( ln n )]1/2 c tớnh toỏn phõn tớch n thành p và q.
ng d i õy hi n th cỏc th i gian d oỏn c a cỏc nhà phõn tớch, gi s ng m i phộp toỏn c th c hi n trong 1 micro giõy :
dài c a khúa Th i gian
75 100 200 300 500 104 ngày 74 n m 4.000.000 n m 5 x 1015 n m 4 x 1025 n m
Ph ng phỏp mó hoỏ v i khoỏ cụng khai xem nh c b o m vỡ hi n nay n ch a tỡm ra m t thu t toỏn phõn tớch th a s nguyờn t cú hi u qu .
10.2.4.4 ng d ng c a mó hoỏ d li u
Mó hoỏ d li u cú cỏc u m là an toàn vỡ ớt ph thu c vào c u trỳc h th ng ng. Ngoài ra mó hoỏ d li u cú tớnh b o m t do d li u c mó hoỏ r i thỡ ch cú nh ng ng i cú quy n m i cú th gi i mó nh n l i c d li u ban u. Cỏc ph ng phỏp mó hoỏ trờn cú th ỏp d ng trong nh ng tỡnh hu ng sau :
• Ph ng phỏp mó hoỏ thay th k t h p v i ph ng phỏp mó hoỏ hoỏn v dựng o ra ph ng phỏp mó hoỏ DES.
• Cỏc d ch v e-mail trờn m ng Internet hay cỏc m ng c c b cú th s d ng thu t toỏn RSA t o ra m t m t n nh n d ng (authentication mask) cỏc thụng p gi a cỏc cỏ nhõn v i nhau. Cú ngh a là ch nh ng ng i nh n c th g i cho mỡnh b ng khoỏ mó hoỏ c a mỡnh thỡ m i gi i mó c thụng p ú và hoàn toàn khụng th (núi theo nguyờn t c) c c cỏc th khụng ph i g i cho mỡnh.
• thu t mó hoỏ ch kớ s (digital signature) cú th dựng t o ra m t ch kớ mó hoỏ dựng xỏc nh, nh n d ng m t i t ng trong cỏc d ch v th ng m i, vớ d nh cỏc th tớn d ng ho c cỏc lo i visa, cardphone ch ng
n....
• Th n t e-mail c ng cú th k t h p thu t toỏn này v i cỏc thu t toỏn mó hoỏ khỏc nh DES theo mụ hỡnh cú th là:
- N i dung th c mó hoỏ b ng ph ng phỏp DES - T o m t ch ký s và mó hoỏ b ng khoỏ RSA
- Khoỏ DES dựng gi i mó cú th c mó hoỏ b ng RSA và g i kốm trong th luụn mà khụng c n ph i bớ m t. Ng i nh n s dựng khúa riờng c a mỡnh
gi i mó khoỏ DES, sau ú gi i mó th nh n c.
10.3 C ch b o v b ng firewall
n quan tr ng trong vi c qu n lý cỏc tài nguyờn thụng tin là c ch b o v ch ng vi c truy c p b t h p phỏp trong khi v n cho phộp ng i c y nhi m s
thoỏt thụng tin c truy n t i trờn cỏc m ng truy n d li u cụng c ng (Public Data Communication Network). ú chớnh là yờu c u c a m t gi i phỏp ho c h th ng an ninh cho h th ng m ng hay cũn g i là h th ng an ninh d li u (Data Security System).
Nhu c u an ninh h th ng ngày càng tr nờn quan tr ng vỡ nhi u nguyờn nhõn nh cỏc i th luụn tỡm cỏch n m c m i thụng tin liờn quan, ngày càng nhi u hacker truy c p thụng tin t cỏc m ng n i b theo nhi u m c ớch khỏc nhau.
t gi i phỏp an ninh cho h th ng m ng c ng d ng nhi u ú là b c ng l a (firewall). Thu t ng firewall cú ngu n g c t m t k thu t thi t k trong xõy d ng ng n ch n, h n ch h a ho n. Trong cụng ngh m ng thụng tin, firewall là m t k thu t c tớch h p vào h th ng m ng ch ng l i vi c truy c p trỏi phộp nh m b o v cỏc ngu n thụng tin n i b c ng nh h n ch s xõm nh p vào h th ng c a m t s thụng tin khỏc khụng mong mu n.
m t ch c n ng h th ng, firewall là m t thành ph n c t gi a hai
ng ki m soỏt t t c cỏc vi c l u thụng và truy c p gi a chỳng v i nhau, bao m:
1. T t c cỏc trao i d li u t trong ra ngoài và ng c l i ph i th c hi n thụng qua firewall.
2. Ch cú nh ng trao i nào c phộp b i ch an ninh c a h th ng m ng i b (trusted network) m i c quy n l u thụng qua firewall.
m t v t lý, firewall bao g m:
1. M t ho c nhi u h th ng mỏy ch k t n i v i cỏc b nh tuy n (router) ho c cú ch c n ng router.
2. Cỏc ph n m m qu n lý an ninh ch y trờn cỏc h th ng mỏy ch . Thụng th ng là cỏc h qu n tr xỏc th c (Authentication), c p quy n (Authorization) và k toỏn (Accounting).
Firewall bao g m ph n c ng và/ho c ph n m m n m gi a 2 m ng (nh m ng i b và m ng Internet), b o v m ng n i b b ng cỏch c m cỏc ng i s d ng truy c p trỏi phộp n và ng th i ng n ch n nh ng thụng p khụng c phộp i i cho ng i nh n bờn ngoài m ng. Firewall cú th n m trờn b d n ng hay trờn Server. C ch làm vi c c a Firewall d a trờn vi c ki m tra cỏc gúi d li u IP u chuy n gi a hai m ng tựy thu c vào cỏc qui t c mà ng i qu n tr h th ng ó xỏc l p.
Hỡnh 10-6. C ch ho t ng c a Firewall.
10.3.1 Cỏc lo i firewall và c ch ho t ng
Khi núi n vi c l u thụng d li u gi a cỏc m ng v i nhau thụng qua firewall thỡ u ú cú ngh a r ng firewall ho t ng k t h p ch t ch v i giao th c TCP/IP. Vỡ giao th c này làm vi c theo thu t toỏn chia nh cỏc d li u nh n c t cỏc ng ng trờn m ng, hay chớnh xỏc h n là cỏc d ch v ch y trờn cỏc giao th c (Telnet, SMTP, DSN, SMNP, NFS,...) thành cỏc gúi d li u r i gỏn cho cỏc gúi này nh ng a ch cú th nh n d ng tỏi l p l i ớch c n g i n. Do ú cỏc lo i firewall
ng liờn quan r t nhi u n cỏc packet và cỏc a ch c a chỳng.
10.3.1.1 B l c packet (Packet filtering)
Lo i firewall này th c hi n vi c ki m tra s nh n d ng a ch c a cỏc packet cho phộp chỳng cú th l u thụng qua l i hay khụng. Cỏc thụng s cú th l c c a m t packet nh sau:
1. a ch IP n i xu t phỏt (source IP address). 2. a ch IP n i nh n (destination IP address). 3. C ng TCP n i xu t phỏt (TCP source port). 4. C ng TCP n i nh n (TCP destination port).
Nh ú firewall cú th ng n c n c cỏc k t n i vào nh ng mỏy ch ho c ng nào ú c xỏc nh, ho c khúa vi c truy c p vào h th ng n i b t nh ng a ch khụng cho phộp.
n n a vi c ki m soỏt cỏc c ng làm cho firewall cú kh n ng ch cho phộp t s lo i k t n i nh t nh vào mỏy ch nào ú, ho c ch cú nh ng d ch v nào ú (Telnet, SMTP, FTP,...) c phộp m i ch y c trờn h th ng m ng n i b .
10.3.1.2 C ng ng d ng (Application gateway)
õy là m t lo i firewall c thi t k t ng c ng ch c n ng ki m soỏt cỏc lo i d ch v , giao th c c cho phộp truy c p vào h th ng m ng. C ch ho t
Router ACL 1 2 4 3 Router n m gi a 2 m ng. Ng i qu n lý so n m t ACL trong ú cú cỏc a ch IP h p l . t thụng p c g i t i Router, thi t b này s ki m tra
a ch c a thụng p này trong ACL, n u cú thụng p s c i i. Ng c l i, thụng p s b t ch i truy p. 1 2 3 4
ng c a nú d a trờn cỏch th c g i là Proxy Service (d ch v i di n): m t ng ng nào ú c quy chi u n (hay i di n b i) m t Proxy Service trong khi cỏc Proxy Service ch y trờn cỏc h th ng mỏy ch thỡ c quy chi u n application gateway c a firewall. C ch l c c a packet filtering ph i h p ki m soỏt v i c ch
i di n" c a application gateway cung c p m t kh n ng an toàn và uy n chuy n n.
Vớ d m t h th ng m ng cú ch c n ng l c cỏc gúi tin ng n cỏc k t n i b ng Telnet vào h th ng ch tr m t ch duy nh t -Telnet application gateway là c phộp. M t ng i s d ng d ch v Telnet mu n k t n i vào h th ng ph i th c hi n cỏc b c sau :
1. Th c hi n d ch v TELNET n Telnet application gateway r i cho bi t tờn a mỏy ch bờn trong c n truy c p.
2. Gateway ki m tra a ch IP n i xu t phỏt c a ng i truy c p r i cho phộp ho c t ch i tựy theo ch an ninh c a h th ng.
3. Ng i truy c p ph i v t qua c h th ng ki m tra xỏc th c.
4. Proxy Service t o m t k t n i Telnet gi a gateway và mỏy ch c n truy c p. 5. Proxy Service liờn k t l u thụng gi a ng i truy c p và mỏy ch .
ch ho t ng này cú ý ngh a quan tr ng trong vi c thi t k an ninh h th ng vớ d nh :
1. Che gi u cỏc thụng tin: ng i dựng ch cú th nhỡn th y tr c ti p cỏc gateway