Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thể giao tiếp trên mạng. Một thực thể cĩ thê là một người, một chương trình máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt dộng của một phương thức bảo mật. Một hệ thống thơng thường phái thực hiện kiểm tra tính xác thực của một thực thế trước khi thực thế đĩ thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mơ hình chính sau: Những thơng tin biết trước, những thơng tin đã cĩ, và những thõng tin xác định tính duy nhất.
- Với cơ chế kiêm tra dựa vào mơ hình những thơng tin biết trước, đối tượng cần kiểm tra cần phải cung cấp những thịng tin mà chúng biết, ví dụ như password, hoặc mã số thơng tin cá nhân PIN (Personal information number).
- Với cơ chế kiểm tra dựa vào mơ hình những thơng tin đã cĩ, đối tượng kiêm Ira cần phải thể hiện những Ihổng tin mà chúng sờ hữu, ví tlụ như khĩa riêng (private key), hoặc số thẻ tín dụng.
- Với cơ chế kiểm tra dựa vào mị hình những thơng tin xác định tính duy nhất, đối tượng kiếm tra cần phải cĩ những thịng tin để định danh tính duy nhất của mình ví dụ như ihơng qua giọng nĩi hoặc vân tay.
2.1.2. Phân quyền (Authorization):
Là hoạt động kiểm tra tính hợp lệ được cấp phát thực hiện một hành động cụ thè. Do vậy hoạt động này liên quan đến các dịch vụ cấp phát quyền truy cập, đảin bảo cho phép hoặc khơng cho phép truy nhập dối với những tài nguyên đã dược phân quyền cho các thực thể. Những hoạt động ờ đây cĩ thể là quyển đọc dữ liệu. viết, thi hành một chương trình hoặc sử dụns một thiết bị phần cứng... Cơ chẽ thực hiện việc phàn quyền dựa vào 2 mơ hình chính sau: mị hình Danh sách quàn lý truv cập ACL (Access Control list) và mơ hình dựa trên cơ chế thiết lập các chính sách (Policy).
2.1.3. Bảo mật (Confidential):
Đánh giá mức dộ bảo mật , hay tính an tồn đơi với mỗi phưcmg thức bào mật, mức độ cĩ Ihể phục hồi dữ liệu từ những người kliơng cĩ quyển đối với dữ liệu đĩ. Cĩ
- Luân vãn tốt nghiên - ChươtiỊi 2: M ã hĩa \ ù báo mát [hơng tin
thế bảo mật dữ liệu theo kiến trúc end-to-end hoặc link-by-link. Với mơ hình end-to- end, dữ liệu được bảo mật trong tồn bộ quá trình xử lý, lưu truyền trên mạng; Với mõ hình link-by-link dữ liệu chỉ được bào vệ trên các đường truyền vật lý.
2.1.4. Tính tồn vẹn (Integrity):
Tính tồn vẹn; hoạt động này đánh giá khả năng sửa đổi dữ liệu so với dữ liệu nguyên thủy ban đầu; Một phương ihức bảo mật cĩ tính tồn vẹn dữ liệu khi nĩ đảm bảo các dữ liệu mã hĩa khơng thể bị thay đổi nội dung so với tài liệu gốc (khi đã được aiài mã) và trong trường hợp những kỏ tấn cĩng trên mạng sửa đổi nội dung dữ liệu đã mã hĩa thì khơng thể khơi phục lại dạng ban đầu của dữ liệu.
2.1.5. Tính khơng thè phủ nhận (Nonreputation):
Tính khơng thể phủ nhận; Xác dịnh tính xác thực của chủ thể gãy ra hành động cĩ thực hiện bảo mật. (Ví dụ chữ ký điện tử sử dụng trong hệ thống Mail cho phép xác định chính xác đối tượng "ký"- người gửi bản tin đĩ.)
2.1.6. Tính sẵn sàng (Availability):
Đánh giá tính thực thi của một phương thức bào mật. Phương thức bảo mật đĩ phải cĩ khả năng thực hiện trong thực tế đối với các hệ thống máy tính, dữ liệu và thực hiện với các tài nguyên phần cứng, pliiin mềm; đồng llìời phái đảm bảo các yêu cầu về tĩc dộ tính tốn, khả năng chuyển đổi, tính tương thích giữa các hệ thống kluíc nhau. 2.2. Các phương thức mã hĩa: [1 ]
2.2.1 Các thuật tốn dơi xứng:
Thuật tốn dối xứng là các thuật tốn trong đĩ việc mã hố và giải mã cùng sử dụng chung 1 từ khố. Ví dụ, nếu văn bản dược biểu diễn bằng 1 thơng số biến đổi p. vãn bản mã hố được biểu diễn bằng thơng số c, mã liỗ với từ khố X cho bởi hàm Ex(), và việc giải mã với từ khố X cho bời hàm Dx(), khi đĩ thuật tốn cân bằng được mơ tá chức năng như sau:
C=Ex(P) P=Dx(C)
P=Dx(Ex(P))
Đối với ỉ thuật tốn mã hố tốt, độ an tồn của dữ liệu phụ thuộc vào độ an tồn và bí mật cùa từ khố chứ khơng phải là sự bí mật của thuật tốn, cĩ nghĩa là việc giãi mã một bản tin dựa vào bản mã và các thõng tin về thuật tốn mã hỏa/giải mã là
- Luán văn tơt nghiên - Chương 2: Mã hĩa và bảo mât thơn£ lin
khơng khả thi. Thuật tốn mã hĩa phải đù mạnh, sao cho việc giãi mã một bản tin mà chỉ dựa vào bản mã là khơng khả thi.
Chính đặc tính này đã làm cho mã hĩa đối xứng được sứ dụng rộng rãi. Đĩ là vì các thuật tốn khơng cần phải giữ bí mật, cĩ nghĩa là các nhà sản xuất cĩ thê sản xuất các chip thuật tốn mã giá thành thấp.
Thuật tốn mã hố cĩ thể được chia nhỏ thành mã hố khối và mã hoủ luồng.
2.2.2. Mã hố khơi
Như trên đã nĩi, mã hố khối thực hiện mã hố hav giải mã cho 1 khối hay 1 nhĩm bit dữ liệu. DES sử dụng một từ khố 56 bít và xử lí dữ liệu theo từng khối 64 hit. tạo ru 64 bít dữ liệu đã được mã hố cho các khối 64 bit ớ đầu vào. và ngược lại. Các thuật tốn khối cĩ thể được chia nhỏ hơn nữa theo mode hoạt động của chúng, như là Sách mã hố diện tử (E C B ), chuỗi mã hố khơi (C B C ), và mã hố cĩ hổi tiếp (C FB). C BC và C F B là các ví dụ về mode hoạt động ờđĩ các khối sau khi đã được mã hố vẫn phụ thuộc vào đầu ra của 1 hay nhiều khối mã hố trước đĩ. Các mode hoạt động này rất được ưa chuộng bởi vì chúng phá vỡ tính tương ứng 1-1 của vãn bản trước khi mã hĩa và sau khi mã hĩa (giống như trong ECB mode). Mã hố khối thậm chí cĩ thể dược thực hiện giống như các thành phán của mã hố luồng.
2.2.3 IVIíì hố luồng
Mã hố luồng hoạt động dựa trên cơ sớ bit-bit, tạo ra 1 hit mã hố riêng biệt cho I bít dữ liệu riêng biệt. Mã hố luồng thơng thường được thực hiện giống như 1 cổng XOR của luồng dữ liệu với từ khố luồng. Độ an tồn của mã hố luồng phụ thuộc vào đặc tính của từ khố. Một từ khĩa hồn tồn ngẫu nhiên sẽ bảo đảm độ an tồn cho việc mã hố, và một từ khố dã được xác định trong 1 khoảng thời gian ngắn sẽ cĩ rất ít độ tin cậy.
Thanh íịhi dịch phán hổi tuyến tinh (LFSR s) là một phần râì quan trọng của rất nhiều bộ mã hố luồng. LFSRs hoạt động giống như 1 thanh ghi dịch ở đĩ bít trống được tạo ra bới việc dịch chuyển là 1 hàm của các trạng thái trước đĩ. Vứi việc lựa chọn đúng các đường rõ nhánh hổi tiếp, LFSRs cĩ thể được cấu trúc như là các bộ tạo số gia ngẫu nhiên. Các đặc tính thống kê của LFSRs như chức năng của hàm tự tương quan và mật độ phổ năng lượng khiến chúng trở nên rất hữu ích cho các ứng dụng khác như các bộ tạo chuỗi tạp âm giả trong thịng tin trải phổ chuỗi trực tiếp, và cho đo lường từ xa trong các hệ thống giống như hệ thống định vị tồn cầu (GPS). Ngồi ra LFSRs cịn cĩ ưu điếm dể dàng thực hiện trong phần cứng.
- Luân vãn tot nuhicp Chương 2: M ỡ hĩu và Ixío mát thỏnsi tin
Độ dài chuỗi cực đại (chuỗi 111) được tính bằng cịng thức 2" - 1 trong dĩ n là số bít của thanh ghi dịch. 1 ví dụ về độ dài cực đại của LFSRs dược dưa ra ở hình 2.1 dưới đây. LFSRs này sẽ định kì tạo ra các chuỗi m bao gồm các trạng thái sau (1111, 0111, 1011,0101, 1010, 1101.0110.0011, 1001,0100,0010,0001, 1000. 1100. 1110) Dich --- ► 0 1 1 1 1 Ra r Sr [) XOR
Hình 2.1: Thanh ghi dịch phản hồi tuyến tính 4 bit
Để tạo một chuỗi m, các nhánh rẽ phản hồi của LFSR phải tương ứng với đa thức sinh module 2 bậc n. Một số thiết kế mã hố luồng bao gồm nhiều LFSR với rất nhiều liên kết và sơ đồ đồng hồ đicu khiển. Thuật tốn A5 trong GSM sử dụng cho việc mã hố thoại và dữ liệu báo hiệu trong GSM là mã hố luồng dùng 3 thanh ghi dịch phản hồi luyến tính LFSR cĩ xung dồng hổ điều khiến.
2.2.4. Phương thức mã hĩa dùng khố báo mật (Secret Kev Crvtography)
Sơ đồ sau đây minh hoạ quá trình làm việc cùa phương thức mã hố sử dụng khố bí mật: Khĩa Private' Dữ liệu ở dạng “rõ” Dừ liệu ỏ Giải mã Dữ liệu ở Mã hĩa dạng được —■p dạng “rõ”
Hình 2.2: - Phương thức mã hĩa đối xứng
Đày là phương thức mã hố đối xứng: Bản tin ờ dạng rõ (dạng dọc dược) được mã ỉiố sử dụng khĩa riêng (khố mà chỉ cĩ người mã hố mới biết được) tạo thành bàn tin đã được mã hố (Ciphertext). Ở phía nhận, bản tin đã được mã hố đĩ được giải mã bằng việc sử (lụng cùng khĩa riơng (Private Kcv) ban dầu để cĩ được bàn till ờ dạn2 rõ.
Điểm chú V của phương pháp mã hố này là việc s ứ dụng khố bí mật cho c ả
quá trình mã hố và quá trình giải mã. Do đĩ, nhưực điểm chính của phương thức này là cần cĩ quá trình trao đổi kliố bí mật, dẫn đến tình trạng dẻ bị lộ khoa bí mật.
Cĩ hai loại mã hố đối xứng như sau: Mã hố theo từng khối và mã hố theo bits dữ liệu.
- Các thuật tốn mã liố đối xứng theo từng khối dữ liệu (Block Cipher) thực hiện chia bản tin ớ dạng rõ thành các khối ví dụ 64 bits (hoặc 2n bits), sau đĩ tiến hành mã hố từng khối này. Đối với khối cuối cùng nếu khơng đủ 64 bits sẽ dược hù thêm phần dữ liệu đệm (padding). Bên nhận sẽ thực hiện giải mã theo từng khối. - Mã hố theo từng bits dữ liệu (Stream Ciphers).
Bảng 2 .1 sau đây mỏ tá một số phương pháp mã hố đối xứng sử dụng khố hí mật. - Luân vãn tốt nghiệp_____________________________Chương 2: M ã hĩa và bào mai ijw ng tin
Bảng 2.1 Mã hố đối xứng sử dụng khố bí mật.
Tên thuật tốn Chê độ mã hố Chiều dài khố
DES Theo khối 56
RC4 Theo bit 2048
Đe khắc phục điếm hạn chế của phương pháp mã hố đối xứng là quá trình trao đổi khố bí mật. người ta đã sử dụng phương pháp mã hố phi đối xứng sử dụng một cặp khố tương ứng với nhau gọi là phương thức mã hố phi đối xứng dùng khố cơng khai (Public-Key Crytography).
2.2.5. Phưưng (hức mả hĩa dùng khố cịng khai (Public-Key Crytography)
Cơ sớ của các hệ thống mật mã khố cơng khai là lý thuyết tốn học về các “hàm mội phía” hay “hàm cửa sập một phía”, được định nghĩa như sau:
Hàin số h ọ c / l à hàm một phía, nếu biết X, tính y = f i x ) là dễ, cịn ngược lại, biết V. tìm Xsao cho f ( x ) = y , hay X = f '(}'), là rất khĩ.
Hàm / l à hàm cửa sập một phía, nếu nĩ là hàm một phía, nhưng cĩ một chốt cứa sập r đè nếu biết chốt z đĩ thì việc tính ngược Xtừ V sẽ trở nên dẻ dàng hơn. (Dễ. là cĩ độ phức tạp tính tốn chấp nhận dược; rất khĩ là cĩ độ phức tạp tính tốn khơng vượt qua nổi trên thực tế).
Thí d ụ : Giá sử p là một số H2uvẽn tố rất lớn. và iỊ là một căn nguvên thủy mo du l o p
- Luán vãn tốt nghiên Chương 2: M ã háu va bao inâl tltâniỉ u n
Ta cĩ Hàm y = f(x ) = g' (mod p) là hàm một phía, vì biết V tính y là khá đơn giản, nhưng biết V để tính X thì với các thuật tốn đã biết hiện nay địi hỏi một khối lượng tính tốn cỡ O(expịlnp.ìnlnp)"2) phép tính (nêu p là số ngu veil tố cỡ 200 chữ số thập phân, thì khối lượng tính tốn trên địi hỏi một máy tính 1 tỷ phép tính/giày làm việc khơng nghi trong khoảng 3000 năm!). Giả sử /1 = p.q là tích của hai số nguyên tố lớn p, q và e là một số II2Uyên tơ' với (pin) = ịp -l ì(q -l). Biết p, CỊ, dễ tính được d sao cho de = 1 mocl (p(ti).
Hàm y= f ( x ) = X1 mod n là hàm một phía, vì biết X tính y và biết V để tính X
(trong trường hợp chi biết n) là rất khĩ, địi hỏi một khối lượng tính tốn cũng tương tự như cách tính trẽn Oịexpịlnp.inlmi)12). Tuv nhiên, nếu biết thêm d (hay biết p, q, vì từ đĩ cũng dề tính ra d), thì từ V tìm -V lại khá dẻ, vì V1 = xMe = X (mod n). Như vậy, V = f ( x )
là hàm cửa sạp một phía, và d là chốt cửa sập.
Phương thức mã hỏa dùng khoa cồng khai dược phát minh bơi Whitfield Diffie và Martin Hollinan vào năm 1975; Phương thức mã hĩa này sử dụng 2 khĩa ỉà Public key và Private Key cĩ các quan hệ tốn học với nhau. Trong đĩ Private Kev được giữ bí tnật và khơng cĩ khả năng bị lộ do khơng cần phải trao đổi trên mạng; Public key khơng phái giữ hí mật và mọi người đều cĩ thể nhận được khố này. Do phương thức mã hĩa này sử dụng 2 khĩa khác nhau, nên người ta gọi nĩ là phương thức mã hĩa phi dối xứng. Mặc dù Private key được giữ bí mật, nhưng khơng giống với "secret Key" dược sử dụng trong phương thức mã hĩa đối xứng sử dụng khố hí mật do Private Key khơng được trao đổi trên mạng.
Public key và Private key tương ứng của nĩ cĩ quan hệ tốn học với nhau và được sinh ra sau khi thực hiện các hàm tồn học; nhưng các hàm tốn học này luơn thoả mãn điều kiện là sao cho khơng thể tìm được private key từ public key và ngược lại. Do đĩ. một cặp khố public key và private key tương ứng dưực gọi là key pair.
Do cĩ mối quan hệ tốn học với nhau, một bản tin được mã hĩa bằng public key chi’ cĩ thể giải mã được bằng private key tương ứng; một bản till được mã hĩa bằng private key chi’ cĩ thể giải mã được hàng public key tương ứng của nĩ.
Thuật tốn i\iblic key cĩ tính thuận nghịch nên I1Ĩ cĩ khả năng sử dụng cả cho báo mậi và ký điện từ. Nĩ khơng cĩ tính thuận nghịch nếu chì làm chức năng chữ ký diện tử. Với các thuật tốn bất thuận nghịch, private key chỉ cĩ thể mã hĩa “bản rõ” plaintext (tức là quá trình ký) mà khơng cĩ khả năng giải mã “hàn mã” ciphertext. Một loại khác của thuật tốn mã hĩa public-key là hoặc khơng thế mã hĩa hoặc khơng thê kv; thuật tốn này được gọi là thuật tốn thuật tốn trao đổi khĩa (kcv exchange).
- Luân văn tot nu h lên Chương. - M ã hĩa và hảo mát thơng tin Thuật tốn Public-key dựa trên mối quan hộ tốn học giữa Public key và private key. Bảng 2.2 sau đây liệt kê các thuật tốn public-key thơng dụng.
Bảng 2.2: Các thuật tốn public-key thơng dụng
Tên Thuật tốn Kiểu Nền tảng tốn học
DSA Chữ ký sổ Thuật tốn rời rạc
RSA Chữ ký số. trao đổi khĩa Tìm thừa số
- RSA, là tên của 3 nhà tốn học đã tìm ra phương thức mã hĩa này, đĩ là Rivest, Shamir và Adleman. RSA là thuật tốn khĩa cịng khai (public-key) Ihịng dụng nhất từ trước tới nay. RSA cĩ thể sử dụng cà cho mã hĩa, ký, và trao đổi khĩa (key exchange). Chiều dài của khĩa (key) cĩ thè thay đổi, thơng thường trong phạm vi từ 512 đến 2048 bils. Việc lựa chọn chiều dài khĩa phải đảm bảo cân bằng giữa tốc độ tính tốn và độ phức tạp của phương thức mã hĩa.
- DSA (Digital Signature Algorithm), phương thức mã hĩa này dược ra đời từ chuẩn DSS (Digital Signature Standard), được giới thiệu vào năm 1994. DSA chí cĩ thổ ký vào một bản tin (message): nĩ khơng thổ dùng cho mã hĩa bảo mật và trao đổi khĩa.
Cơ chế làm việc của phương pháp mã hố sử dụng khố cơng khai được mơ tả
ờ hình 2.3
Dữ liệu ỏ dạng “rõ”
Khĩa. Public Khĩa. Private
ĩ)ư liêu ở dang . Dữ liêu ở
Mã hĩa được mã hĩa * Giải mã — -►
dạng ‘rõ