2.4.1.1.Mã hoá
Mã hoá là cơ chế chính cho việc bảo mật thông tin. Nó bảo vệ chắc chắn thông tin trong quá trình truyền dữ liệu, mã hoá có thể bảo vệ thông tin trong quá trình lưu trữ bằng mã hoá tập tin. Tuy nhiên người sử dụng phải có quyền truy cập vào tập tin này, hệ thống mã hoá sẽ không phân biệt giữa người sử dụng hợp pháp và bất hợp pháp nếu cả hai cùng sử dụng một key giống nhau. Do đó mã hoá chính nó sẽ không cung cấp bảo mật, chúng phải được điều khiển bởi key mã hoá và toàn bộ hệ thống.
Hình 2.8 Quá trình mã hoá
Mã hoá nhằm đảm bảo các yêu cầu sau:
Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”. Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình truyền. Tính không từ chối (Non-repudiation): là cơ chế người thực hiện hành động
không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốc hoặc người đưa tin.
2.4.1.2.Các giải thuật mã hoá
Giải thuật băm (Hashing Encryption)
Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng (cleartext) trở thành hình thái mã hoá mà không bao giờ có thể giải mã. Kết quả của tiến trình hashing còn được gọi là một hash (xử lý băm), giá trị hash (hash value), hay thông điệp đã được mã hoá (message digest) và tất nhiên không thể tái tạo lại dạng ban đầu.
Trong xử lý hàm băm dữ liệu đầu vào có thể khác nhau về độ dài, thế nhưng độ dài của xử lý Hash lại là cố định. Hashing được sử dụng trong một số mô hình yêu cầu xác thực mật khẩu. Một giá trị hash có thể được gắn với một thông điệp điện tử (electronic message) nhằm hỗ trợ tính tích hợp của dữ liệu hoặc hỗ trợ xác định trách nhiệm không thể chối từ (non-repudiation).
Hình 2.9 Mô hình giải thuật băm
Một số giải thuật băm :
MD5 (Message Digest 5): giá trị băm 128 bit.
SHA-1 (Secure Hash Algorithm): giá trị băm 160 bit.
Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)
Mã hoá đối xứng hay mã hoá chia sẻ khoá (shared-key encryption) là mô hình mã hoá hai chiều có nghĩa là tiến trình mã hoá và giải mã đều dùng chung một khoá. Khoá này phải được chuyển giao bí mật giữa hai đối tượng tham gia giao tiếp. Có thể bẻ khoá bằng tấn công vét cạn (Brute Force).
Hình 2.10 Giải thuật mã hoá đồng bộ/đối xứng
Cách thức mã hoá như sau:
Hai bên chia sẻ chung 1 khoá (được giữ bí mật).
Trước khi bắt đầu liên lạc hai bên phải trao đổi khoá bí mật cho nhau.
Bảng dưới đây cho thấy chi tiết các phương pháp mã hóa đối xứng thông dụng.
Các loại mã hóa Đặc tính
Data Encryption Standard (DES) - Sử dụng một khối 64 bit hoặc một khóa 56 bit.
- Có thể dễ dàng bị bẻ khóa. Triple DES (3DES) - Áp dụng DES 3 lần.
- Sử dụng một khóa 168bit. - Bị thay thế bởi AES. Advanced Encryption Standard
(AES)
Sử dụng Rhine doll có khả năng đề kháng với tất cả tấn công đã biết.
Dùng một khóa và khóa chiều dài có thể thay đổi (128-192 hoặc 256 bit).
Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)
Mã hóa bất đối xứng, hay mã hóa khóa công khai (public-key encryption), là mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khóa công khai (public key). Thông thường, một thông điệp được mã hóa với private key, và chắc chắn rằng key này là của người gửi thông điệp (message sender). Nó sẽ được giải mã với public key, bất cứ người nhận nào cũng có thể truy cập nếu họ có private key. Chú ý, chỉ có public key trong cùng một cặp khóa mới có thể giải mã dữ liệu đã mã hóa với private key tương ứng. Và private key thì không bao giờ được chia sẻ với bất kỳ ai và do đó nó giữ được tính bảo mật, với dạng mã hóa này được ứng dụng trong chữ ký điện tử.
Hình 2.11 Giải thuật mã hóa không đồng bộ/không đối xứng (adsbygoogle = window.adsbygoogle || []).push({});
RSA (Ron Rivest, Adi Shamir, and Leonard Adleman). DSA (Digital Signature Standard).
Diffie-Hellman (W.Diffie and Dr.M.E.Hellman).
2.4.1.3.Chứng thực người dùng
Là quá trình thiết lập tính hợp lệ của người dùng trước khi truy cập thông tin trong hệ thống. Các loại chứng thực như:
+ Username/password: Là loại chứng thực phổ biến nhất và yếu nhất của chứng thực, username/password được giữ nguyên dạng chuyển đến Server.
Hình 2.12 Chứng thực bằng user và password
Tuy nhiên phương pháp này xuất hiện những vấn đề như dễ bị đánh cắp trong quá trình đến server
+ Giải pháp
Đặt mật khẩu dài tối thiểu là 8 kí tự, bao gồm chữ cái, số, biểu tượng. Thay đổi mật khẩu: 01 tháng/lần.
Không nên đặt cùng mật khẩu ở nhiều nơi. Xem xét việc cung cấp mật khẩu cho ai.
+ CHAP (Challenge Hanshake Authentication Protocol):
Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực thử thách/hồi đáp. Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ chế bắt tay 3 bước và thông tin bí mật được mã hóa sử dụng MD5. Hoạt động của CHAP như sau:
Hình 2.13 Hoạt động của CHAP
+ Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách (client- server) và đảm bảo nhận thực cho cả hai chiều.
Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server - TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng của người sử dụng.). Mỗi người sử dụng trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhận dạng của một người sử dụng. Trong mỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó.
Một Server (Certificates Authority - CA) tạo ra các certificates. Có thể là vật lý: Smartcard
Có thể là logic: Chữ ký điện tử
Sử dụng public/private key (bất cứ dữ liệu nào được mã hóa bằng public key chỉ có thể giải mã bằng private key). Sử dụng “công ty thứ 3” để chứng thực. Được sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử cho email và mã hóa email.