CHƯƠNG 6 BẢO MẬT
6.1. Bảo mật mạng căn bản
Bảo mật mạng nĩi chung là nhằm bảo vệ người dùng (bao gồm vị trí chính xác của người dùng) dữ liệu và lưu lượng truy cập đến từ các thành viên lưu lượng tín hiệu truy nhập và cũng là để bảo vệ các nhà điều hành mạng chống lại các thành viên sử dụng và đăng kí khơng thích hợp. Cơng cụ cơ bản trong bảo mật internet là sử
dụng khố cơng khai và khố hệ thống cơ bản, hệ thống bảo vệ bằng tường lửa và mật khẩu.
An ninh internet là rất quan trong và cực kỳ khĩ trong mạnh vệ tinh, nĩ bao gồm các tổ chức an ninh kinh tế chính tri khác nhau trên tồn thế giới. Và nĩ cũng bao gồm việc làm thế nào khi giao tiếp ra ngồi ( ví dụ như là máy tính người dùng và mạng) để làm được điều này thì cần hiểu rõ về các phần cứng và các giao thức trong mạng
6.1.1. Tiếp cận bảo mật
Mã hố bảo mật cĩ thể được tiến hành bởi 2 phương pháp tiếp cận :
• Tiếp cận layer to layer: Trong trường hợp này lớp máy tính (thường là lớp 3- lớp IP hoặc lớp 4 -lớp TCP và UDP)nhận một tập tin giải mã từ lớp trên,
đĩng gĩi tập tin trong một đơn vị giao thức dữ liệu (PDU), và mã hố tồn bộ khung trước khi gửi nĩ đến một phần khác, ở đĩ, lớp tương ứng của mỗi
đối tượng sẽ giải mã PDU trước khi gửi chúng đến các lớp cao hơn. Tuy nhiên để làm được điều này thì các router trong mạng phải được cung cấp
đầy đủ cách mã hố khung.
• Tiếp cận end to end: Trong trường hợp này các tập tin sẽ được mã hố trực tiếp tại lớp ứng dụng bởi người dùng và tập tin đã được mã hố sẽ được gửi tới lớp thấp hơn. Điều đĩ cĩ nghĩa là chỉ cĩ phần tải trọng dữ liệu của khung sẽđược mã hố (khác với trường hợp trên là cả khung được mã hố)
Ở trường hợp thứ 2, việc mã hố chỉ xảy ra một cách gián tiếp trên lưu lượng mạng, và điều này chỉ xảy ra khi mà thuật tốn mã hĩa làm ảnh hưởng lên kích thước dữ liệu được truyền đi. Trường hợp này thì giống như thuật tốn băm hoặc RSA
Trong trường hợp đầu thì loại mã hố này bao gồm cả phần mào đầu khung, vì vậy làm giảm hiệu quả truyền tải trọng dữ liệu. Đây là một loại cơ chế được bổ sung trong Ipv4 và Ipv6, nĩ khác với các cơ chế khác. Trong Ipv4 thì mã hố là một tuỳ
chọn được kích hoạt trong trường “tuỳ chọn” của mào đầu (bit thứ 6 trong dãy 32 bit), trong Ipv6 nĩ bao gồm cả những phần tiêu đề mở rộng (từ trường tuỳ chọn được sử dụng trong Ipv6) của 64 bit. Một hệ quả khác cĩ thể nảy sinh là khi mà thêm vào những tiêu đề và sự thay đổi kích thước khung làm xuất hiện các bản tin cho phiên trao đổi chìa khố và điều này thì khơng xảy ra trong điều kiện bình thường (ví dụ khơng cĩ mã hố)
6.1.2. Hàm băm đơn hướng
Hàm Băm đơn hướng H(M) hoạt động trên bản tin M cĩ độ dài tuỳ ý nĩ tạo ra một mã băm cĩ độ dài cố định đầu ra h=H(M).
Nhiều hàm làm thay đổi độ dài đầu vào và cho ngược trở lại đầu ra cĩ độ dài cố định.
• Cho M ta dễ dàng tính tốn ra h. • Cho h khĩ tìm ra được M
• Cho M khĩ để tìm ra được bản tin M’ sao cho H(M)=H(M’)
Sự khĩ khăn ở đây phụ thuộc vào mức độ bảo mật tại mỗi vị trí nhưng đa số
các ứng dụng hiện nay xác định “độ khĩ” là cần 264 hoặc nhiều phép tính hơn nữa để
giải. Các loại hàm hiện nay bao gồm MD4, MD5 và thuật tốn băm an tồn(SHA). Từ quan điểm mạng trên những thuật tốn này thường được sử dụng cho mục đích chứng thực.
6.1.3. Mật mã đối xứng(với khố bảo mật)
Một thuật tốn mã hố với khố bí mật làm thay đổi bản tin M cĩ độ dài tuỳ ý thành bản tin mã hố Ek(M)=C cĩ độ dài tương tự sử dụng khố k và biến đổi ngược lại (Dk(M)) sử dụng cùng khố hình 6.1. Mã hĩa Giải mã C Văn bản chuyển thành mã Mạng vệ tinh Bản tin M Khố bí mật K Bản tin M Khố bí mật K Hình 6.1 Hệ thống khố bí mật
Thuật tốn này xác định những đặc tính sau: • Dk(Ek(M)) = M
• Cho M và k dễ dàng tính tốn ra được C • Cho C và k dễ dàng tính tốn ra được M • Cho M và C thì khĩ tìm ra được k
Và tất nhiên trong trường hợp này rất khĩ khăn để tính tốn ra k vì với thuật tốn mã hố dữ liệu tiêu chuẩn (DES) k cĩ độ dài 256bit và thuật tốn mã hố dữ liệu quốc tế (IDEA) thì k cĩ độ dài 2128 bit.
Những thuật tốn này thì được sử dụng cho mục đích “đĩng gĩi bảo mật dữ
liệu” trong mạng (ví dụ mã hố dữ liệu) và thường được sử dụng trong lĩnh vực thương mại điện tử.
6.1.4. Mật mã bất đối xứng(với khố chung và riêng)
Trái với trường hơp trước, những thuật tốn này sử dụng 2 khố khác nhau (hình 6.2) một khố e dùng để mã hố (gọi là khố cơng cộng) và một khố d dùng để
giải mã (gọi là khố riêng).
Hệ thống khố cơng cộng dành cho bảo mật
Hệ thống khố cơng cộng dành cho chứng thực
Hình 6.2 Hệ thống khố cơng cộng dành cho từng người và cho chứng thực
Xác định C=Ee(M) và M=Dd(C) • Dd(Ee(M) =M
• Cho C và d dễ dàng tính tốn được M • Cho M và C khĩ tìm ra được e và d • Cho e khĩ tìm ra được d
• Cho d khĩ tìm ra được e
2 khố này “độc lập” , khố mã hố cĩ thể được biết rộng rãi đĩ là lý do vì sao nĩ được gọi là khố cơng khai, ngược lại khố riêng chỉ được biết để đối tượng giải mã bản tin .
Thuật tốn phổ biến của loại này là RSA (được đặt tên của 3 nhà sáng lập là Rivest, Shamir and Adleman). những thuật tốn này được sử dụng phổ biến trong mã hố truyền (hình 6.2a) hoặc dùng cho chứng thực (hình 6.2b) giữa 2 hoặc nhiều người muốn giao tiếp bằng phương pháp bảo mật.