Độ an toàn của hệ thống RSA dựa trên 2 vấn đề của toán học: bài toán phân tích ra thừa số nguyên tố các số nguyên lớn và bài toán RSA. Nếu 2 bài toán trên là khó (không tìm đƣợc thuật toán hiệu quả để giải chúng) thì không thể thực hiện đƣợc việc phá mã toàn bộ đối với RSA. Phá mã một phần phải đƣợc ngăn chặn bằng các phƣơng pháp chuyển đổi bản rõ an toàn.
Bài toán RSA: Cho số nguyên dƣơng N là tích của hai số nguyên tố phân biệt p và q (N = p * q), số nguyên e sao cho thỏa mãn gcd(e, (p - 1) * (q - 1)) = 1, và số nguyên c. Tìm một số nguyên m sao cho me ≡ c (mod N).
Hiện nay phƣơng pháp triển vọng nhất giải bài toán này là phân tích n ra thừa số nguyên tố. Khi thực hiện đƣợc điều này, kẻ tấn công sẽ tìm ra số mũ bí mật d từ khóa công khai và có thể giải mã theo đúng quy trình của thuật toán. Nếu kẻ tấn công tìm đƣợc 2 số nguyên tố p và q sao cho: n = p*q thì có thể dễ dàng tìm đƣợc giá trị (p-1)*(q-1) và qua đó xác định d từ e. Chƣa có
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
một phƣơng pháp nào đƣợc tìm ra trên máy tính để giải bài toán này trong thời gian đa thức (polynomial-time).
Tuy nhiên ngƣời ta cũng chƣa chứng minh đƣợc điều ngƣợc lại (sự không tồn tại của thuật toán).
Tại thời điểm năm 2005, số lớn nhất có thể đƣợc phân tích ra thừa số nguyên tố có độ dài 663 bít với phƣơng pháp phân tán trong khi khóa của RSA có độ dài từ 1024 tới 2048 bit. Một số chuyên gia cho rằng khóa 1024 bít có thể sớm bị phá vỡ (cũng có nhiều ngƣời phản đối việc này). Với khóa 4096 bít thì hầu nhƣ không có khả năng bị phá vỡ trong tƣơng lai gần. Do đó, ngƣời ta thƣờng cho rằng RSA đảm bảo an toàn với điều kiện n đƣợc chọn đủ lớn. Nếu n có độ dài 256 bít hoặc ngắn hơn, nó có thể bị phân tích trong vài giờ với máy tính cá nhân dùng các phần mềm có sẵn. Nếu n có độ dài 512 bit, nó có thể bị phân tích bởi vài trăm máy tính tại thời điểm năm 1999.
Năm 1993, PeterShor công bố thuật toán Shor chỉ ra rằng: máy tính lƣợng tử (trên lý thuyết) có thể giải bài toán phân tích ra thừa số trong thời gian đa thức. Tuy nhiên, máy tính lƣợng tử vẫn chƣa thể phát triển đƣợc tới mức độ này trong nhiều năm nữa.
Nhƣ vậy, tính an toàn của phƣơng pháp RSA dựa trên cơ sở các máy tính tại thời điểm hiện tại chƣa đủ khả năng giải quyết việc phân tích các số nguyên rất lớn ra thừa số nguyên tố.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
CHƢƠNG 3. BẢO MẬT HỆ THỐNG THÔNG TIN
TRONG TRƢỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT VĨNH PHÚC 3.1. Hệ thống thông tin trƣờng cao đẳng kinh tế - kỹ thuật Vĩnh Phúc
Trung tâm hệ thống thông tin đƣợc đặt tại thƣ viện của nhà trƣờng, rồi từ đây kết nối với các phòng ban trong toàn trƣờng qua hệ thống LAN, Wifi theo mô hình nhƣ sau:
Hình 9: Sơ đồ hệ thống mạng Trƣờng CĐ Kinh tế - Kỹ thuật Vĩnh Phúc
Nhà A2 Internet Nhà B3 Nhà D1 Nhà D2 Nhà ăn Ký túc xá 1 Ký túc xá 2 Nhà A1 Nhà điều hành Nhà C3 Nhà C2 Nhà B1 Nhà B2 Thƣ viện Nhà C1
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Tổng số máy tính nối vào mạng LAN hiện tại là 452 máy tính bao gồm máy tính của các phòng ban và phòng học thực hành.
Các tòa nhà đƣợc kết nối với nhau qua mạng LAN, trên mỗi tòa đều có trang bị hệ thống Accsess point để truy cập wifi hoặc dùng dây LAN cho các máy tính desktop. Có thể sử dụng wifi trong toàn khuân viên nhà trƣờng.
Có 01 Server hiện nay đang cài đặt dùng hệ điều hành Windows 2003 Advanced Server có Database SQL Server 2000 dùng để phục vụ dữ liệu phần mềm quản lý đào tạo VTEC.
Sử dụng các thiết bị nối mạng có số lƣợng nhƣ dƣới đây: Backbone Sử dụng hệ
thống cáp quang 02 Switch Intel – 100 Mbs – 24 Ports 16 Lease line 256 KBs 02 Hub 100Mbs – 24 Ports 25
ADSL 02 Hub 100Mbs – 16 Ports 10
Cisco Router 01 Hub 100Mbs – 08 Ports 18
Số máy tính 452 Server 01
Bảng: 4 Thống kê thiết bị công nghệ thông tin trƣờng CĐ Kinh tế - Kỹ thuật Nhiệm vụ của hệ thống thông tin trƣờng CĐ Kinh tế - Kỹ thuật Vĩnh Phúc bao gồm:
Chia sẽ dữ liệu giữa các đơn vị dạng file.
Kết nối hệ thống máy tính truy cập internet.
Chạy các phần mềm làm nghiệm vụ trƣờng học nhƣ: - Phần mềm quản lý đào tạo VTEC
- Phần mềm quản lý tài chính Mimosa 2012 - Phần mềm quản lý thƣ viện CTEC Lib - Phần mềm quản lý nhân sự PMIT - Phần mềm quản lý nhà ăn Archives
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Kết quả khảo sát hiện trạng hệ thống cho thấy: (adsbygoogle = window.adsbygoogle || []).push({});
- Hệ thống thông tin nhà trƣờng hầu nhƣ chƣa trang bị hệ thống bảo mật. - Server chứa dữ liệu dùng chung không an toàn, không cài đặt chế độ
bảo mật.
- Các máy tính kết nối với mạng trong nhà trƣờng đều không đƣợc trang bị các chức năng bảo mật.
Phân tích những nguy cơ bảo mật tiềm ẩn của hệ thống:
- Do các máy trong mạng LAN không áp dụng cơ chế bảo mật nào nên các files ở mỗi máy cá nhân đều có nguy cơ không an toàn (xóa, thay đổi), bị đọc chộm thông tin (lộ bí mật). Một ngƣời có một chút hiểu biết về hệ thống sẽ dễ dàng truy cập đƣợc vào các máy tính nối mạng trong trƣờng. Mỗi ngƣời, mỗi phòng, đều có những bí mật nội bộ không thể công bố hoặc chƣa đến thời điểm thích hợp để công bố nhƣ về tài chính, về đề tài khoa học, về các phát kiến, về đời tƣ cá nhân... Nếu những thông tin này không đƣợc bảo mật có thể sẽ dẫn đến những tổn thất to lớn.
- Dữ liệu trên server chƣa đƣợc bảo mật, trên này chứa kết quả học tập của học sinh, sinh viên. Do không có chính sách bảo mật nên server rất dễ bị một ngƣời nào đó truy cập vào để gây hai nhƣ: thay đổi thông tin, phá hệ thống. Nếu không may điều này xẩy ra thì sẽ dẫn tới tổn thất không gì có thể bù đắp nổi. Vì đây là toàn bộ dữ liệu về quá trình đào tạo của nhà trƣờng, về kết quả tập của học sinh – sinh viên. Để truy cập vào server cần biết các thông tin nhƣ: Host name, Database name, User name, Password. Một kẻ có chút ít hiểu biết về hệ database có dễ dàng có đƣợc thông tin này và khi đó chúng có toàn quền với Database.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Trong cấu trúc của dữ liệu trong database cũng tiềm ẩn những nguy cơ bảo mật nguy hiểm đối với những âm mƣu tấn công từ bên trong hệ thống.
VD: Khi những ngƣời quản trị mở database ra có thể sửa đƣợc các thông tin trong các bảng dữ liệu thông qua công cụ quản trị của SQL server. Giả sử chính những ngƣời quản chị này tự sửa thông tin thì ai hay biết?
- Khi trao đổi thông tin qua mạng đã số đều sử dụng chế độ gửi thƣ thông thƣờng của các nhà cung cấp miễn phí trên mạng nhƣ gmail, yahoo, hot mail, ... điều này cũng tiềm ẩn nhiều nguy cơ về bảo mật, các thƣ gửi đều có thể bị lỗ trên đƣờng truyền.
Từ các phân tích trên cho thây đây là một hệ thống không đƣợc bảo mật nên không an toàn. Có thể bị phá hoại bất cứ khi nào, điều này vô cùng nguy hiểm và cần thiết phải khắc phục cấp bách.
3.2. Đề xuất giải pháp bảo mật cho hệ thống
3.2.1. Biện pháp bảo mật các files trên máy tính .
Ngoài dữ liệu dùng chung chứa trên server, các loại dữ liệu khác đều chứa trên các máy tính cá nhân. Trong máy tính cá nhân những thông tin sau cần bảo đảm tuyệt mật : Đề thi chuẩn bọ thi kết thúc học phần, phát minh sáng chế chƣa công bố, đề tài khoa học chƣa công bố, tác phẩm nghệ thuật chƣa công bố (tranh ảnh, thơ ca ...)
Biện pháp bảo mật file cần thiết đƣợc triển khai rộng trên toàn trƣờng, mọi cán bộ, giáo viên, giảng viên nên áp dụng để bảo đảm an toàn và bảo mật đối với những dữ liệu quan trọng. Sử dụng phần mềm mã hóa theo chuẩn mã hóa cao cấp AES đang đƣợc dùng phổ biến để mã hóa các thông tin mật.
Để sử dụng chức năng mã hóa file, có thể sử dụng chƣơng trình mô phỏng mã hóa kèm theo luận văn này để thực hiện. Thuật toán AES chủ yếu đƣợc dùng trong việc mã hóa dữ liệu .
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Sau quá trình nghiên cứu các phƣơng pháp mã hóa, các mô hình bảo mật thông tin. Tác giả nhận thấy, việc mã hóa thông tin đóng vai trò quan trọng trong vấn đề bảo mật. Trong khuôn khổ luận văn này, tác giả đã cài đặt hai phƣơng pháp mã hóa AES và RSA. Các phƣơng pháp này đã đƣợc chứng minh thực tế là hiệu quả và đƣợc ứng dụng phổ biến hiện nay.
Môi trƣờng cài đặt:
Ngôn ngữ lập trình CBuilder XE5
Hệ điều hành WindowsXP, Windows 7,Windows 8.1
Một số hình ảnh về chƣơng trình.
Chƣơng trình đƣợc thiết kế gồm có 2 phần - Phần chọn kiểu mã hóa (chọn các tab)
- Phần văn chứa văn bản: Bản gốc, bản mã, bản rõ ( Bản rõ có nội dung phải trùng với bản gốc sau khi mã hóa)
Hình 10: Giao diện chƣơng trình mô phỏng mã hóa
Mã hóa AES
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Nhập key (key có độ dài là bội số của 32: 128, 192, 256)
Chọn Mode mã hóa các khối: ECB, BCB, CFB, OFB, CTR) – mặc định là ECB.
Ấn nút “Tạo khóa mở rộng” để tạo khóa sẵn sàng cho việc mã hóa và giải mã. (adsbygoogle = window.adsbygoogle || []).push({});
Mã hóa RSA
Bấm nút tạo khóa tự động” chƣơng trình sẽ tự động sinh 2 số nguyên tố khác nhau p và q, từ đó chƣơng trình tính tiếp các giá trị của khác nhƣ n, (phi), e, d sẵn sàng cho việc mã hóa và giải mã.
Hình 11: Chức năng chọn kiểu và các tham số cho mã hóa
Đối với mã hóa ta có thể lƣu khóa vào tập tin hoặc mở khóa từ file lƣu trong tập tin thông qua biểu tƣợng.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Để mở tệp khóa hoặc mở các tệp dƣ liệu nhƣ văn bản gốc, văn bản mã. Để mở tệp khóa hoặc mở các tệp dƣ liệu nhƣ văn bản gốc, văn bản mã. Để thực hiện mã hóa “Văn bản gốc” kết quả sẽ cho bản mã ở cửa sổ “Văn bản mã hóa”
Thực hiện giải mã từ “Văn bản mã hóa” kết quả của giải mã sẽ hiển thị ở cửa sổ “Văn bản giải mã”
Hình 12: Cửa sổ chứa Bản gốc - Bản mã - Bản giải mã
3.2.2. Thiết lập các chính sách bảo mật trên server.
Việc làm này giúp cho server đƣợc an toàn hạn chế những nguy cơ rủi ro. Trong hệ điều hành Server đã hỗ trợ rất nhiều chức năng bảo mật. Vậy ngƣời quản trị cần tận dụng triệt để những chức năng này nhằm bảo đảm an toàn và bảo mật cho hệ thống.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Một số chức năng quan trọng để bảo mật dữ liệu trên server đó là. Thiết lập các chính sách về tài khoản (Account policies)
- Thiết lập các chính sách về an toàn cho mật khẩu (Password policies) nhƣ thời gian tồn tại, độ phức tạp mật khẩu, quy định chiều dài tối thiểu của mật khẩu, hay sử dụng chế độ mã hóa password. - Thiết lập cơ chế khóa tài khoản nhƣ: sau một khoảng thời gian nhất
định nào đó, hay số lần đăng nhập không thành công sẽ bị khóa, quy định thời gian mật khẩu đƣợc mở khóa khi bị khóa.
- Thiết lập giao thức xác thực trên mạng (Kerberos policy) nhƣ hạn chế ngƣời sử dụng đăng nhập, thời gian tối đa cho 1 dịch vụ server, quy định thời gian online của ngƣời sử dụng.
Thiết lập các chính sách cục bộ nhƣ giám sát, ghi nhận các sự kiện xảy ra trong hệ thống để dễ truy nguyên nhân, trách nhiệm, thiết lập các quyền cho user hay thiết lập các thuộc tính bảo mật.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Thiết lập sự kiện đăng nhập cho hệ thống
Có áp dụng chính sách IP Sec đƣợc áp dụng để kiểm soát IP truy cập vào server.
Đổi tên hoặc xóa các tài khoản mặc định nhƣ Administrator, guest. Tiến hành các biện pháp vật lý nhƣ khóa phòng mảy chủ, nếu không nhiệm vụ, tuyệt đối không đƣợc vào, hạn chế các cổng giao tiếp của server nhƣ disable các cổng USB, tháo bỏ ổ đĩa CD. Khi các chính sách bảo mật trên server đƣợc cài đặt hợp lý sẽ góp phần đáng kể về bảo mật dữ liệu trên server của hệ thống.
Các máy Server trong hệ thống đều đƣợc cài đặt phần mềm chống vius trên server nhƣ bản workstation, các máy trạm đƣợc cài bản client. Dữ liệu mẫu virus đƣợc cập nhật liên tục từ server của nhà cung cấp dịch vụ riệt virus lên Server workstation. Các máy Client chỉ cần Update các mẫu virus từ Server workstation. Điều này rất quan trong sẽ giúp làm giảm lƣu lƣợng băng thông ra ngoài Internet, từ đó giúp hệ thống mạng nhanh hơn và chi phí ít hơn nhiều so với việc mua từng phần mềm virus cài đặt trên mỗi máy tính mà vẫn đảm bảo việc hạn chế virus phá hoại.
3.2.3. Sử dụng Firewall
Bản thân trong hệ điều hành đã tích hợp các firewall nhƣng những firewall có nhiều hạn chế. Nhằm làm tăng tính bảo mật cho hệ thống mạng, trƣờng cần triển khai thêm hệ thống firewall chặn hoặc hạn chế các kết nối từ bên ngoài vào mạng nội bộ nhà trƣờng. Nếu không có ai truy cập thì sẽ không có rủi ro, nếu hạn chế truy cập sẽ hạn chế rủi ro cho hệ thống.
Nhà trƣờng cần thiết cài đặt hệ thống Firewall (mềm hoặc cứng) để bảo vệ hệ thống thông tin khỏi sự tấn công từ bên ngoài.
Trong tƣơng lai sẽ triển khai hệ thống Web Server, FTP. Khi đó mọi nơi có thể truy cập vào server của nhà trƣờng. Điều này sẽ làm tăng nguy cơ
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
mất an toàn về bảo mật đối với dữ liệu và các thông tin mật. Nhà trƣờng cũng có thể cài thêm firewall mềm và cấu hình hợp lý trên hệ thống firewall để hạn chế các cuộc tấn công trực tiếp.
Hình 14:Mô mạng có tƣờng lửa bảo vệ
Nhà A2 Internet Nhà B3 Nhà D1 Nhà D2 Nhà ăn Ký túc xá 1 Ký túc xá 2 Nhà A1 Nhà điều hành Nhà C3 Nhà C2 Nhà B1 Nhà B2 Thƣ viện Nhà C1
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ (adsbygoogle = window.adsbygoogle || []).push({});
Khi cài ISA vào thì máy ISA Server sẽ trở thành Firewall. Lúc này ISA Server sẽ đứng ngoài cùng hệ thống mạng, chịu trách nhiệm giám sát việc truy xuất ra ngoài cũng nhƣ truy cập từ bên ngoài vào của toàn bộ hệ thống mạng. Giờ đây việc Publish các Web, FTP Server sẽ không Publish trực tiếp nữa mà thông qua ISA Server.
Khi bên ngoài yêu cầu truy cập Website của tổ chức, thì ISA sẽ lắng nghe và forward port 80 vào máy nào làm Web Server bên trong. Nhƣ vậy khi bị tấn công ISA sẽ hứng chịu toàn bộ các cuộc tấn công. Các Server sẽ trở nên an toàn hơn.
Nhƣ vậy hệ thống của chúng ta sẽ đƣợc bảo mật hơn từ bên ngoài.
Cho phép các máy trong mạng LAN truy cập Internet
Mở chƣơng trình ISA Server Management -> Right click trên Firewall Policy ->New -> Access Rule … -> Trong cửa sổ Welcome -> Đặt tên cho