1. 2.1 MỘT SỐ VẤN ĐỀ HOẠCH ĐỊNH CHÍNH SÁCH
3.1.1TỔNG QUAN
Định nghĩa: Một hệ mật mó gồm 5 bộ (P, C, K, E, D) thoó món cỏc điều kiện sau:
1. P là tập hữu hạn cỏc bản rừ cú thể. 2. C là tập hữu hạn cỏc bản mó cú thể 3. K là một hữu hạn cỏc khoỏ cú thể
4. Đối với mỗi khoỏ kK cú một quy tắc lập mó ek E ek: P C
và một quy tắc giải mó tƣơng ứng dk D
dk: D P sao cho dk(ek(x)) = x với xP
Theo mụ hỡnh mật mó cổ điển từ trƣớc và cho đến nay vẫn đang đƣợc nghiờn cứu sử dụng. Ngƣời gửi và ngƣời nhận khi sử dụng mật mó cổ điển sẽ chọn một cỏch bớ mật khoỏ K. Sau đú dựng khoỏ K để tạo ra quy tắc mó khoỏ ek và quy tắc giải mó dk với dk hoặc giống ek hoặc dễ dàng tạo ra từ ek. Cỏc hệ mật mó thuộc loại này đƣợc gọi là cỏc hệ mật mó bớ mật (hay cũn gọi là hệ
mạt mó đối xứng), vỡ nếu lộ ek sẽ làm cho hệ mật mất an toàn. Hỡnh 3.1 cho thấy cỏch tổ chức thụng tin khi dựng hệ mật mó bớ mật.
Yờu cầu phải cú thụng tin trƣớc về khoỏ K giữa ngƣời gửi và ngƣời nhận trƣớc khi gửi một bản mó bất kỳ. Mặt khỏc, cũng do nhƣợc điểm này đó làm giảm khả năng trao đổi thụng tin bớ mật một cỏch rộng rói giữa cỏc cỏ nhõn với cỏc tổ chức nờn hạn chế thụng tin về khoỏ cho ngƣời sử dụng.
Do phải phõn phối khoỏ trờn một kờnh an toàn riờng, nờn hạn chế việc triển khớa trờn mạng viễn thụng.
Để khắc phục cỏc nhƣợc điểm trờn của hệ mật mó bớ mật (cổ điển), đó cú nhiều nghiờn cứu đi sõu vào nghiờn cứu nhằm tạo ra một hệ mật mó mới. Diffie và Hellman là những ngƣời đầu tiờn cụng bố một bài bỏo, giới thiệu cỏc khớa niệm về mật mó khoỏ cụng khai và cuốn sỏch “New Directions in Cryptography” xuất bản năm 1976. í tƣởng về khoỏ mật mó cụng khai trờn là một tiến bộ quan trọng trong trong mật mó, nú đó đề xuất ra việc xõy dựng một hệ mật mó khụng cú khả năng tớnh toỏn để xỏc định dk nếu biết ek. Khi đú khoỏ mó K cú thể cụng khai bằng cỏch cụng bố nú nhƣ một thƣ mục và ngƣời
Thỏm mó
Ngƣờigửi Bộ mó hoỏ Ngƣờinhận
nhận Bộ giải mó Nguồn khoỏ Khoỏ AT Hỡnh 3.1 Mụ hỡnh thụng tin của hệ mật mó bớ mật
gửi sẽ truy cập vào đú để nhận đƣợc khoỏ mó. Vớ dụ, từ một thƣ mục cụng khai ngƣời gửi sẽ cú khoỏ mó và thực hiện mó hoỏ một bản tin bằng khoỏ cụng khai sau đú gửi tới ngƣời nhận, ngƣời nhận phải sử dụng khoỏ giải mó riờng để giải mó bản tin đú.
Phỏt triển ý tƣởng của Diffie và Hellman. Năm 977 Rivest, Shamir và Adleman đó phỏt minh ra hệ mật mó khoỏ cụng khia RSA nổi tiếng.
Trong hệ mật mó khoỏ cụng khai, khoỏ mó hoỏ đƣợc đƣa ra cụng khai là khoỏ cụng khai, nhƣng khoỏ giải mó là khoỏ riờng và đƣợc giữ bớ mật. Vỡ khoỏ mó hoỏ (khoỏ cụng khai) và giải mó (khoỏ riờng) là khỏc nhau đối với cỏc bờn và khụng thể tớnh toỏn khoỏ này từ khoỏ kia, khi cho trƣớc quy tắc giải mó hoỏ. Nờn mật mó khoỏ cụng khai cũn đƣợc gọi là hệ mật khụng đối
xứng. Nú cú ƣu điểm hơn so với hệ mật mó bớ mật (hệ mật mó đối xứng)
nhƣ:
Giữ an toàn (bớ mật) của cỏc thụng tin đƣợc gửi từ cỏc cỏ nhõn tới cỏc tổ chức hoặc cỏ nhõn tới cỏ nhõn, điều này cực kỳ quan trọng đối với cỏ nhõn và tổ chức trong một xó hội phỏt triển là xó hội thụng tin.
Làm giảm nhẹ vấn đề phõn phối khoỏ, do đặc điểm quan trọng nhất của mật mó khoỏ cụng khai là khụng cần giữ bớ mật khoỏ, đồng thời làm tăng việc trao đổi thụng tin là nhu cầu khụng thể thiếu đƣợc trong xó hội.
Khi một số cỏ nhõn muốn gửi thụng tin bớ mật tới một tổ chức, nếu dựng mật mó đối xứng để mó hoỏ thụng tin cần gửi thỡ cần tạo ra cỏc sắp xếp ban đầu cho cỏ nhõn và tổ chức để chia sẽ một khoỏ bớ mật duy nhất, điều này trờn thực tế cú rất nhiều khú khăn. Trong khi đú, mật mó khoỏ cụng khai cho phộp cỏ nhõn và tổ chức cụng bố khoỏ cụng khai bằng cỏch đặt nú ở trong một thƣ mục chung chẳng hạn. Những ngƣời gửi bản tin chỉ cần truy cập vào thƣ mục này để mó hoỏ bản tin của mỡnh và gửi nú tới tổ chức. Khi nhận đƣợc bản tin gửi đến, tổ chức dựng khoỏ riờng để giải mó bản tin nhận đƣợc.
Mật mó hoỏ cụng khai dễ dàng triểm khai trờn mạng. điều này là khú thực hiện đối với hệ mật mó bớ mật do tớnh phức tạp trong việc phõn phối khoỏ của nú.
Mật mó khoỏ cụng khai đảm bảo an toàn thụng tin nhờ việc đƣa ra chữ ký số điện tử. Việc sử dụng chữ ký số điện tử cho phộp phỏt hiện và chống việc giả mạo (ngụy tạo) bản tin gửi đi. Do vậy đảm bảo đƣợc tớnh trọn vẹn của thụng tin truyền.
Hỡnh 3.2 là mụ hỡnh thụng tin của hệ mật mó khoỏ cụng khai, trong đú mụ tả quỏ trỡnh mó hoỏ bản tin (hoặc bức điện) và ngụy tạo chữ ký số điện tử.
Sau hệ mật mó RSA, một số hệ mật mó cụng khai khỏc cũng đƣợc cụng bố với độ mật của chỳng dựa trờn cỏc bài tớnh toỏn khỏc nhau nhƣ:
Hệ mật RSA: Độ bảo mật của hệ RSA dựa trờn độ khú của việc phõn
tớch ra thừa số của cỏc số nguyờn tố lớn.
Thỏm mó Khoỏ riờng của Alice
Khoỏ cụng khai của Alice
Bộ mó hoỏ Bộ giải mó Alice nhận
Khoỏ riờng của Bob (adsbygoogle = window.adsbygoogle || []).push({});
Khoỏ cụng khai của Bob
Bob gửi
Hệ mật mó xếp ba lụ Merkle - Hellman: Hệ này và cỏc hệ cú liờn quan
dựa trờn tớnh khú giải của bài toỏn tổng hợp cỏc tập con là của bài toỏn NP đầy đủ. (bài toỏn NP đầy đủ là một lớp khỏ lớn cỏc bài toàn khụng cú cỏc thuật giải đƣợc biết trong thời gian đa thức).
Hệ mật McEliece: Hệ này dựa trờn bài toỏn giải mó cho cỏc mó tuyến
tớnh, cũng là bài toỏn NP đầy đủ.
Hệ mật Elgamal: Hệ mật Elgama dựa trờn tớnh khú giải của bài toỏn lo
ga rit rời rạc trờn trƣờng hữu hạn.
Hệ mật Chor- Rivest: Đƣợc xem nhƣ là hệ mật mó xếp ba lụ.
Hệ mật trờn cỏc đƣờng cong Ellipptic: Cỏc hệ mật này la sự biến đổi
của cỏc hệ mật khỏc, chỳng làm việc dựa vào cỏc đƣờng cong Elliptic chứ khụng phải trờn trƣờng hữu hạn.
3.1.2 Hệ mật mó RSA
- Hệ mật mó khoỏ cụng khai RSA đƣợc phỏt minh bởi Rivest, Shamir và Adleman đƣợc mụ tả nhƣ sau:
- Cho hai số nguyờn tố lớn bất kỳ p và q. mụ dun n là tớch của hai số p và q (n = pq). Hàm Euler của nlà:
(n)(p1)(q1)
- Chọn hoàn toàn ngẫu nhiờn thành phần e (1< e <(n))thoả món điều kiện:
GCD(e,(n)) = 1 Thực hiện tớnh thành phần giải mó d sao cho:
Ở đõy e đƣợc gọi là thành phần mó hoỏ cụng khai và cặp (e,n) cụng khai,
nờn đƣợc gọi là khoỏ cụng khai. Thành phần giải mó d đƣợc giữ bớ mật. Vỡ thế cặp (d,n) cú tờn là khoỏ bớ mật (hay cũn gọi là khoỏ riờng).
Cỏc giỏ trị của cỏc số nguyờn tố p và q đƣợc giữ bớ mật. Việc mó húa
bản tin m, (0mn) đƣợc thực hiện bằng việc tớnh: C = me(mod n)
Với m là bản tin (hay cũn gọi là bản rừ), C là bản mó đƣợc mó hoỏ từ bản tin. Việc giải mó đƣợc thực hiện bằng cỏch tớnh:
M = Cd(mod n).
Việc sử dụng khoỏ cụng khai để mó hoỏ bản tin của cỏc nhõn dƣợc thực hiện nhƣ sau:
Trong danh bạ khoỏ cụng khai chứa cỏc cặp khoỏ cụng khai cho mỗi ngƣời sử dụng. Danh bạ này cú thể đƣợc bố trớ nhƣ sau:
Ngƣời sử dụng Cặp khoỏ cụng khai Cặp khoỏ bớ mật Alice (ea,na) (da,na) Bob (eb,nb) (db,nb) Cathy (ec,nc) (dc,nc) … … …
Giả sử Alice muốn gửi một bản tin M tới Bob thì Alice sẽ thực hiện các b-ớc nh- sau:
- Alice xác định tên Bob trong danh bạ và lấy cặp khoá công khai của Bob là (eb, nb)
- Alice thực hiện mã hoá bản tin m bằng việc tính C = meb(mod nb).
- Bob nhận đ-ợc bản mã C, anh ta sẽ dùng khoá bí mật của mình để giải mã và nhận đ-ợc bản tin m bằng việc tính m = Cdb(mod nb). (adsbygoogle = window.adsbygoogle || []).push({});
Phát triển của hệ mật RSA với việc sử dụng nhiều số nguyên tố (Multip prime), hệ mật mã RSA đ-ợc thực hiện nh- sau:
- Chọn k số nguyên tố và tính n = p1.p2…pk.
- Chọn e số nguyờn tố bất kỳ và tớnh d = e-1mod ((n)với GCD(e,(n)) = 1
Trong đú (n)(p11)(p21)....(pk 1) - Cho 1ik , tớnh di= d mod (pi-1).
- Khoỏ cụng khai là (n,e) và khoỏ riờng (n,d1,d2,..dk).
- Mó hoỏ bản tin m bằng khoỏ cụng khai sẽ giống nhƣ với mó hoỏ RSA ban đầu với C= mc mod n.
- Việc giải mó đƣợc thực hiện với mi =Cdimod pi với 1ik , ỏp dụng định lý phần dƣ chia cho mi để cú đƣợc m = Cd mod n.
3.1.3 Cỏc phƣơng phỏp phõn phối khoỏ cụng khai
3.1.3.1 Phƣơng phỏp thụng bỏo cụng khai khoỏ cụng khai:
Hỡnh 3.3 mụ tả việc thụng bỏo cụng khai khoỏ cụng khai. Một cỏ nhõn vớ dụ nhƣ A (chẳng hạn tờn là Sử), cú thể gửi hoặc cụng bố cụng khai khoỏ cụng khai của mỡnh cho mọi ngƣời sử dụng khỏc ở trờn mạng thụng qua thƣ mục riờng hoặc cỏc diễn đàn (Forums) trờn mạng hoặc sử dụng thƣ điện tử của Sử.
Với phƣơng phỏp phõn phối khoỏ cụng khai bằng cỏch này, nờn ngƣời gửi khoỏ sẽ khụng biết đƣợc danh tớnh của ngƣời nhận khoỏ. Vỡ vậy, độ an toàn thụng tin khi sử dụng phƣơng phỏp phõn phối khoỏ này sẽ giảm đi, do đễ bị ngƣời săn tin trộm giả danh đẻ đỏnh cắp thụng tin.
Ta cú thể giải thớch nhƣ sau: B (chẳng hạn tờn là Hậu) giả danh là A (tờn là Sử) gửi khoỏ cụng khai cho C (chẳng hạn tờn là Sơn), Sơn khụng biết đú là khoỏ giả nờn mó hoỏ bản tin bằng khoỏ giả và gửi cho Sử, lỳc này Hậu
thu lấy và sử dụng khoỏ bớ mật của mỡnh thực hiện giải mó, với cỏch làm nhƣ thế này Hậu đó thực hiện việc đỏnh cắp đƣợc thụng tin.
3.1.3.2 Phƣơng phỏp dựng thƣ mục khoỏ cụng khai:
Hỡnh 3.4 mụ tả việc phõn phối khoỏ cụng khai dựng chung thƣ mục. Phƣơng phỏp phõn phối khoỏ này đảm bảo độ an toàn thụng tin cao hơn so với phƣơng phỏp trờn. Theo phƣơng phỏp này việc phõn phối khoỏ đƣợc thực hiện thụng qua thƣ mục chung cho cỏc thành viờn trong mạng. Việc duy trỡ và tổ chức thƣ mục này đƣợc thực hiện bằng một cơ quan (tổ chức) cú thẩm quyền. Việc phõn phối khoỏ này thực hiện nhƣ sau:
- Cơ quan cú thẩm quyền duy trỡ một thƣ mục đăng nhập cú chứa tờn, khoỏ cụng khai của mỗi thành viờn đăng ký truy cập vào thƣ mục khoỏ cụng khai.
- Mỗi thành viờn đăng ký một khoỏ cụng khai với cơ quan cú thẩm quyền. Việc đăng ký đƣợc trực tiếp hoặc thụng qua cỏc mẫu cú chứng thực của chớnh quyền. B C H A KpA KpA KpA KpA . . . . .
Hỡnh 3.3. Sơ đồ thụng bỏo cụng khai khoỏ cụng khai
- Mỗi thành viờn cú thể thay đổi khoỏ cụng khai ở thƣ mục vào bất cứ lỳc nào.
- Định kỳ, cơ quan cú thẩm quyền sẽ cụng bố toàn bộ thƣ mục hoặc cập nhật thƣ mục. Vớ dụ nhƣ xuất bản toàn bộ thƣ mục giống nhƣ sỏch niờn giỏm điện thoại. Việc cập nhật thƣ mục sẽ đƣợc đăng tải trong số bỏo cú phỏt hành số lƣợng lớn.
- Cỏc thành viờn sẽ truy cập thƣ mục điện tử để lấy khoỏ cụng khai của thành viờn khỏc khi cần trao đổi thụng tin.
3.1.3.3 Phƣơng phỏp cấp phỏt khoỏ cụng khai do cơ quan cú thẩm quyền
Hỡnh 3.5 mụ tả việc phõn phối khoỏ cụng khai do cơ quan cú thẩm quyền. Phƣơng phỏp này đảm bảo độ an toàn thụng tin cao hơn so với cỏc phƣơng phỏp thụng bỏo cụng khai khoỏ cụng khai và phƣơng phỏp dựng thƣ mục chung vỡ việc phõn phối và kiểm soỏt khoỏ chặt chẽ hơn.
Theo phƣơng phỏp này cơ quan cú thẩm quyền sẽ duy trỡ một thƣ mục cú chứa khoỏ cụng khai của tất cả cỏc thành viờn trong mạng. Cỏc thành viờn
C
A Thƣ mục khoỏ cụng khai B
KPC
KPC
KPA
Hỡnh 3.4. Sơ đồ phõn phối khoỏ cụng khai theo thƣ mục chung (adsbygoogle = window.adsbygoogle || []).push({});
trong mạng biết rừ khúa cụng khai của cơ quan cấp phỏt khoỏ cụng khai, nhƣng khụng biết đƣợc khoỏ bớ mật của cơ quan này.
Việc phõn phối khoỏ này đƣợc thực hiện nhƣ sau:
- A gửi một thụng bỏo cú ghi rừ thời gian phỏt hành (timestamped) tới cơ quan cấp phỏt khoỏ cụng khai với nội dung yờu cầu cung cấp khoỏ cụng khai hiện tại của B.
- Cơ quan cấp phỏt khoỏ cụng khai sẽ gửi lại cho A nội thụng bỏo, thụng bỏo này đƣợc mó húa bằng khoỏ bớ mật của cơ quan cấp phỏt khoỏ cụng khai KpA, vỡ thế A cú thể giải mó thụng bỏo này bằng khoỏ cụng khai của cơ quan cấp phỏt khoỏ. Thụng bỏo này chứa cỏc thụng tin nhƣ sau:
Khoỏ cụng khai của B là KpB để A mó hoỏ bản tin gửi cho B.
Yờu cầu gốc cho phộp A so sỏnh với yờu cầu gửi đi trƣớc đú để kiểm tra yờu cầu ban đầu khụng bị sửa đổi trƣớc khi cơ quan cấp phỏt khoỏ cụng khai nhận đƣợc.
Thời gian phỏt hành gốc để A xỏc nhận đõy khụng phải là thụng bỏo cũ của cơ quan cấp phỏt khoỏ.
- A giữ lấy khoỏ cụng khai của B và dựng nú để mó hoỏ bản tin gửi tới B, trong bản tin này cú chứa định danh của A và N1 (Nonce) dựng để xỏc định giao dịch này là duy nhất.
- Tƣơng tự nhƣ vậy B sẽ lấy đƣợc khoỏ cụng khai KpA của từ cơ quan cấp phỏt cụng khai.
- B gửi bản tin đƣợc mó hoỏ bằng khoỏ cụng khai KpA tới A trong đú cú chứa giỏ trị N1 của A cựng với giỏ trị N2 của B. Nhƣ vậy, chỉ cú B mới giải đƣợc mó bản tin (3) việc thể hiện của N1 trong bản tin (5) khẳng định B chớnh là ngƣời trao đổi thụng tin với A.
- A gửi trả N2 đƣợc mó hoỏ bằng khoỏ cụng khai của B để khẳng định A chớnh là ngƣời đó trao đổi thụng tin với B.
3.1.3.4 Phƣơng phỏp chứng nhận khoỏ cụng khai
Phƣơng phỏp cấp phỏt khoỏ cụng khai do cơ quan cú thẩm quyền cũng sẽ bộc lộ nhƣợc điểm khi một số lớn cỏc thành viờn trong mạng cựng cú nhu cầu đƣợc cấp phỏt khoỏ, nhƣ vậy sẽ gõy ra hiện tƣợng quỏ tải cho cơ quan cấp phỏt khoỏ (hiện tƣợng thắt cổ chai). Để khắc phục nhƣợc điểm này ngƣời ta sử dụng phƣơng phỏp chứng nhận khúa cụng khai.
Hỡnh 3.6 mụ tả việc phõn phối khoỏ cụng khai theo phƣơng phỏp chứng nhận khoỏ cụng khai. Theo phƣơng phỏp này cỏc thành viờn trong mạng cú thể trao đổi khoỏ với nhau mà khụng cần trực tiếp xin cơ quan cấp phỏt khoỏ. Mỗi chứng nhận chứa khoỏ cụng khai và cỏc thụng tin khỏc đƣợc cung cấp bởi cơ quan cấp chƣng nhận khoỏ cụng khai. Cỏc chứng nhận khoỏ cụng khai sẽ đƣợc cung cấp cho cỏc thành viờn của mạng.
Cơ quan cấp phỏt khoỏ cụng khai A B (3) eKpBIDA N1 (6)KpAN1 N2 (7) eKpB N2 (2)eKSauthKPB requestTime1
(5)eKSauthKPA requestTime2
(1)Request Time1
(4) Request
2
Time
Hỡnh 3.5. Cấp phỏt khoỏ cụng khai do quan cú thẩm quyền
Sơ đồ phõn phối khoỏ đƣợc thực hiện với cỏc yờu cầu kốm theo là:
- Bất cứ thành viờn nào cũng cú thể đọc để xỏc định đƣợc tờn và khoỏ cụng khai của ngƣời cú chứng nhận.
- Bất thành viờn nào cũng cú thể kiểm tra chứng nhận ban đầu từ cơ quan cấp chứng nhận và xỏc định đƣợc chứng nhận đú khụng phải là giả mạo.
- Chỉ cú cơ quan cấp chứng nhận mới cú quyền cấp chứng nhận và cập nhật nú.
Cũng giống nhƣ phƣơng phỏp cấp phỏt khoỏ cụng khai, cơ quan cấp