CHƯƠNG I : T NG QUAN AN TOÀN BẢO MẬT HỆ TH NG THÔNG TIN
2.1 Cơ chế xác thực nguồn gốc thông tin [8]
2.1.1 Giới thiệu chung
Trong chương 1, luận văn đã phân tích một số nguy cơ đe doạ đến an tồn hệ thống mạng đó là: Tấn cơng trực tiếp, nghe trộm, giả mạo, chối cãi nguồn gốc, từ chối dịch vụ, truy nhập bất hợp pháp, … một trong những giải pháp cần thiết để tránh các nguy cơ này là xác thực. Xác thực là một thủ tục nhằm kiểm tra các thơng tin nhận được có đến từ một nguồn hợp lệ và có bị sửa đổi hay khơng. Mặt khác xác thực cũng có thể kiểm tra trình tự và tính đúng lúc của các thơng tin nhận được.
Ngồi việc chứng minh người sử dụng, các hệ thống xác thực cũng được sử dụng để xác định những thông tin nào có thể được truy nhập; ví dụ như cơ sở dữ liệu tài nguyên hoặc cơ sở dữ liệu tài chính của một tổ chức.
Có nhiều giao thức xác thực đã được đề xuất như: xác thực thông qua yêu cầu và phản hồi, xác thực bằng hỏi đáp, xác thực Deffie-Hellman, xác thực dùng một trung tâm phân phối khoá, xác thực Need-Schoede … các giao thức xác thực này đã để lộ nhiều điểm yếu, đó là thơng tin trao đổi khố giữa hai người sử dụng các giao thức này có thể bị bên thứ ba xen vào, vì vậy vấn đề an tồn của thông tin khi thực hiện các giao dịch cũng cần phải được xem xét. Giải pháp xác thực dùng chứng chỉ số (Digital Certificate) và chữ ký điện tử (Digital Signature) được đề xuất nhằm đảm bảo an toàn cho các thơng tin giao dịch, nó giải quyết được các vấn đề bảo mật dữ liệu, định danh được người gửi, tính tồn vẹn của dữ liệu và không bị giả mạo.
2.1.2 Kỹ thuật xác thực thông tin
Xác thực thông tin (Message Authentication) là một cơ chế được ứng dụng trong xử lý thơng tin với mục đích:
Đảm bảo nội dung thông tin trao đổi giữa các thực thể là chính xác, khơng
bị thêm, sửa, xóa hay phát lại. Nói cách khác, đảm bảo tính tồn vẹn về nội dung không bị vi phạm.
Đảm bảo đối tượng tạo ra thông tin, tạo ra nguồn gốc thông tin đúng là đối tượng hợp lệ đã được khai báo. Nói cách khác, đảm bảo tính tồn vẹn về nguồn gốc thông tin.
Để thực hiện xác thực thơng tin, về ngun tắc có 3 phương pháp sau đây:
1) Sử dụng các thuật toán mật mã khóa đối xứng và bất đối xứng: Để xác
thực thông tin. Nguyên tắc của mật mã là chỉ có những đối tượng hợp lệ mới khơi phục được thơng tin gốc từ thơng tin mật. Có thể sử dụng ngun tắc này để xác thực thông tin như sau:
Trường hợp sử dụng mật mã khóa đối xứng: Theo quy ước, chỉ có nơi gửi thông tin và nơi nhận thông tin hợp lệ mới có khóa bí mật K. Do đó chỉ nơi nhận thơng tin hợp lệ mới có khả năng tạo ra khối thông tin mật hợp lệ từ khối thơng tin gốc M. Tương tự, chỉ có nơi nhận thơng tin hợp lệ mới có khả năng giải mã được thông tin mật để ra thông tin gốc M. Tất cả các cố gắng khác đều cho ra kết quả sai.
Trường hợp sử dụng mật mã khóa bất đối xứng: Nơi gửi thông tin thực hiện mã hóa bằng khóa bí mật (PR) thay vì dùng khóa cơng khai. Khối thơng tin mật tạo ra có thể được giải mã bởi bất kỳ đối tượng nào biết khóa cơng khai của thực thể gửi. Tuy nhiên, nếu q trình giải mã thành cơng, đối tượng nhận thơng tin có thể chắc chắn rằng thơng tin nhận được là đúng và chính đối tượng gửi hợp lệ đã gửi thơng tin này, bởi vì chỉ có đối tượng đó mới có khóa riêng PR.
Nơi gửi Nơi nhận
a) Dùng mật mã đối xứng
C
M: thông tin gốc E: thuật toán mật mã D: Thuật toán giải mã C: Thơng tin mật K: Khóa bí mật dùng chung giữa bên gửi và bên nhận PRa: Khóa bí mật của bên gửi. PUa: Khóa cơng khai của bên gửi
b) Dùng mật mã bất đối xứng
2) Sử dụng mã xác thực MAC (Message Authentication Code): Mã xác thực
MAC được sinh ra từ tổ hợp gồm một khối thơng tin gốc có độ dài bất kỳ và một khóa bí mật. Kích thước của MAC là cố định, không phụ thuộc vào kích thước của khối dữ liệu gốc và thường nhỏ hơn dữ liệu gốc. Nơi gửi sẽ gửi giá trị MAC kèm cùng với thơng tin gốc. Phía nhận sau khi nhận được thơng tin gốc cùng với giá trị MAC gửi kèm sẽ thực hiện thao tác tạo ra giá trị MAC mới từ thông tin gốc cùng với khóa bí mật đã thống nhất giữa hai bên. Nếu giá trị MAC vừa tạo như giá trị MAC nhận được từ phía gửi, phía nhận có thể chắc chắn rằng thơng tin gốc khơng bị thay đổi trong quá trình truyền.
Việc dùng MAC để xác thực thông tin dựa vào hai cơ sở:
Ứng với một khối thông tin gốc M và một khóa bí mật K, hàm C chỉ tạo ra
duy nhất một mã xác thực MAC.
Chỉ có phía gửi và phía nhận hợp lệ mới được biết khóa K.
Có hai kỹ thuật tạo ra mã xác thực MAC: Kỹ thuật dùng cơ chế mật mã khối (Cipher Block Chaining), gọi là CMAC hay CBC-MAC và kỹ thuật dựa trên các hàm băm bảo mật, gọi là HMAC.
Mã xác thực MAC được ứng dụng trong các trường hợp thông tin chỉ yêu cầu đảm bảo tính xác thực mà khơng cần đảm bảo tính bí mật.
Hình 2.2: Xác thực thông tin dùng MAC
Nơi gửi thông tin Nơi nhận thông tin
Mã xác thực (MAC)
So sánh
M: thơng tin gốc
K: Khóa bí mật dùng chung giữa bên gửi và bên nhận C: Hàm tạo mã xác thực
3) Sử dụng các hàm băm bảo mật (Secure Hash Function): Cũng như mã
xác thực MAC, hàm băm cũng tạo ra một khối thơng tin ngắn có độ dài xác định gọi là mã băm (Hash Code) từ một khối thơng tin gốc có độ dài bất kỳ. Tuy nhiên, khác với MAC, hàm băm chỉ dựa vào thông tin gốc để tạo ra mã băm mà khơng dùng thêm bất kỳ khóa bí mật nào. Do vậy, để có thể sử dụng như một cơ chế xác thực thông tin, hàm băm phải được dùng kèm với một thuật tóan mật mã nào đó (đối xứng hoặc bất đối xứng).
Hình 2.3 trình bày một ứng dụng điển hình của hàm băm xác thực thơng tin. Theo cơ chế này, mã băm sau khi được tạo ra sẽ được mã hóa bằng một thuật toán mật mã đối xứng với khóa bí mật K chỉ có bên gửi và bên nhận biết. Đoạn mã băm đã được mã hóa và được gửi đi kèm với thơng tin gốc và q trình kiểm tra ở phía nhận cũng được tiến hành theo trình tự ngược lại, tức là giải mã đoạn mã băm bằng khóa bí mật, sau đó tạo ra mã băm mới từ thơng tin gốc và so sánh hai đoạn mã băm.
Hình 2.3: Xác thực thơng tin dùng hàm băm
Có nhiều cách áp dụng các thuật toàn mật mã vào hàm băm để xác thực thông tin: Sử dụng kỹ thuật mật mã khóa đối xứng hoặc khóa bất đối xứng. Hoặc chỉ mã hóa giá trị băm hoặc mã hóa cả thơng tin gốc và giá trị băm, thậm chí có thể tổ hợp nhiều cách trên lại với nhau.
Ngoài các ứng dụng xác thực thông tin, các hàm băm còn được sử dụng trong nhiều ứng dụng khác nhau. Phần tiếp theo trình bày chi tiết hơn về khái niệm và các tính chất của các hàm băm bảo mật.
Nơi gửi thông tin Nơi nhận thơng tin
Mã băm đã được mã hóa
So sánh
M: thông tin gốc H: hàm băm E: thuật tốn mã hóa
D: thuật tốn giải mã K: khóa bí mật dùng chung giữa phía gửi và phía nhận.