Bài giảng An toàn hệ thống thông tin - Chương 6: Chứng thực thực thể (Entity Authentication)

07/01/2018

CHỨNG THỰC THỰC THỂ

(Entity Authentication)

GV: Nguyễn Thị Hạnh

Nội dung chính

1. Giới thiệu chứng thực thực thể

2. Chứng thực bằng Passpword

3. Chứng thực bằng Challenge-Response

4. Chứng thực bằng ZERO-KNOWLEDGE

5. Chứng thực bằng Biometrics

(Cryptography & Network Security. McGraw-Hill, Inc., 2007.,

Chapter 14)

1

07/01/2018

1. Chứng thực thực thể

˗ Chứng thực thực thể (Entity Authentication):

là một kỹ thuật được thiết kế cho phép một bên (party) chứng

minh sự nhận dạng (identity) của một bên khác.

˗ Entity là gì:

Có thể là một con người, tiến trình, client, hoặc một server.

Thực thể mà identity cần được chứng minh được gọi là người

thỉnh cầu (Claimant); bên mà cố gắng chứng minh identity

của claimant được gọi là người thẩm định (verifier)

Sự khác biệt

˗ Chứng thực thông điệp

(Message authenticaton or

data-orign aunthentcation):

˗ Chứng thực thực thể (Entity

Authentication)

° Không cần xảy ra theo thời

gian thực; Ví dụ: Alice gửi

° Theo thời gian thực. Ví dụ:

Alice cần online và tham gia

tiến trình giao tiếp, thông điệp

chỉ được trao đổi khi được

chứng thực

thông điệp cho Bob, khi Bob

chứng thực thông điệp thì Alice

có thể không cần phải có mặt

ngay trong tiến trình giao tiếp

° Chứng thực cho từng thông

điệp

° Chứng thực trong suốt section

2

07/01/2018

Các loại vật chứng (Verification Categories)

Clainmant có thể trình ra identify của cô ta cho Verifer. Có ba loại

vật chứng:

˗ Something known: Là một bí mật chỉ được biết bởi clainmant

mà có thể được kiểm tra bởi verifier. Ví dụ: Password, Pin,

secret key, private key.

˗ Something possessed: là một thứ mà có thể chứng minh

nhận dạng của claimant. Ví dụ: passport, bằng lái xe, chứng

minh nhân dân, credit card, smart card

˗ Something inherent: là một đặc tính vốn sẳn có của Claimant.

Ví dụ: Chữ ký thông thường, vân tay, giọng nói, đặc tính khuôn

mặt, võng mạc, và chữ viết tay.

2. Passwords

˗ Là phương pháp đơn giản và lâu đời nhất, được gọi là

Password-based Authentication, password là một thứ mà

claimant biết.

˗ Một Password được dùng khi một người dùng cần truy xuất

một hệ thống để sử dụng nguồn tài nguyên của hệ thống.

˗ Mỗi người dùng có một định danh người dùng (user

identification) công khai và một password bí mật.

˗ Có 2 cơ chế password:

° Fixed password

° và one-time password

3

07/01/2018

2.1 Fixed Password

˗ Là một password được dùng lặp đi lặp lại mỗi lần truy xuất

˗ Có 3 cơ chế được xây dựng theo hướng này

° User ID và Password File

° Hashing the password

° Salting the password

° Two identification techniques are combined

2.1 Fixed Password

˗ User ID và Password File

° Rất thô sơ, User ID và Password được lưu trong một tập tin.

° Để truy xuất tài nguyên, người dùng gửi bản rõ của User ID

và Password đến hệ thống. Nếu Password trùng khớp với

Password trong hệ thống, thì quyền truy xuất được gán

ngược lại từ chối.

4

07/01/2018

2.1 Fixed Password

˗ User ID và Password File

2.1 Fixed Password

˗ Hashing the password

5

07/01/2018

2.1 Fixed Password

˗ Salting the password

2.1 Fixed Password

˗ Two identification techniques are combined

A good example of this type of authentication is the use of an ATM card with a

PIN (personal identification number).

6

07/01/2018

2.2 One-Time Password

˗ One-time Passoword:

là một password mà được sử dụng chỉ một lần. Loại

password này làm cho các tấng công eavesdropping và

salting vô tác dụng. Có 3 hướng:

2.2 One-Time Password

Hướng 1: User và System thỏa thuận một danh sách các

Password

° Mỗi Password trong danh sách được dùng một lần

° System và User phải giữ gìn danh sách Password

° Nếu User không dùng các password một cách tuần tự thì System phải

thực hiện tìm kiếm và so khớp

° Password chỉ hợp lệ một lần và không sử dụng lại

7

07/01/2018

2.2 One-Time Password

Hướng 2: User và System thỏa thuận cập nhật một cách

tuần tự Password

° User và System thỏa thuận một Password gốc, P₁mà

Password này chỉ hợp lệ cho lần đầu tiên truy suất.

° Trong quá trình truy xuất lần đầu tiên này, user phát sinh

một password mới P2, và mã hóa password này với khóa

là P₁, P₂là password cho lần truy xuất kế tiếp và cứ thế

tiếp tục phát sinh P_i+1từ P_icho lần truy xuất thứ P_i+1

° Nếu đối phương đoán ra được P₁thì có thể tìm được tất

cả các Password khác

2.2 One-Time Password

Hướng 3: User và System tạo ra một Password được cập

nhật một cách tuần tự sử dụng hàm băm.

˗ Hướng này được đề xuất bởi Leslie Lamport

˗ User và System đồng thuận một Password gốc, P₀và số

đếm n. System tính hⁿ(P₀) với hⁿđược áp dụng hàm băm lần

thứ n

hⁿ(x)=h(h^n-1(x)), h^n-1(x)=h(h^n-2(x)), …, h²(x)=h(h (x)), h¹(x)=h(x)

˗ System lưu nhận dạng của user thông qua giá trị n và giá trị

hn(P0)

8

07/01/2018

2.2 One-Time Password

˗ Lamport one-time password

3. Challenge-Response

˗ Dùng chứng thực bằng Password, để chứng mnh nhận dạng

Claimant cần trình ra password bí mật, tuy nhiên password này

có bị tiết lộ

˗ Với chứng thực bằng Challenge-reponse, claimant chứng

mình rằng cô ta biết một bí mật (secret) mà không cần gửi

chúng đi. Nói cách khác, clamant không cần gửi bí mật cho

verifier, verifier hoặc có hoặc tự tìm ra chúng

˗ Challege là một giá trị biến đổi theo thời gian được gửi bởi

Verifier, Response là kết quả của một hàm được áp dụng

trên challenge

9

07/01/2018

3. Challenge-Response

Có 3 hướng chính để tạo nên Challenge-reponse

˗ Using A Sysmetric-Key Cipher

˗ Using Keyed-Has Functions

˗ Using An Asymmetric-Key Cipher

˗ Using Digital Signature

3.1 Using A Sysmetric-Key Cipher

˗ Bí mật (secret) ở đây là khóa bí mật được chia sẻ giữa

Claimant và Verifier. Sử dụng hàm mã hóa áp dụng cho

challenge này. Có vài hướng theo cơ chế này

˗ Hướng 1: Nonce challenge

10

07/01/2018

3.1 Using A Sysmetric-Key Cipher

˗ Hướng 1: Nonce challenge

3.1 Using A Sysmetric-Key Cipher

˗ Hướng 2: Timestamp challenge

11

07/01/2018

3.1 Using A Sysmetric-Key Cipher

˗ Hướng 3: Bidirectional authentication

3.2 Using Keyed-Hash Functions

˗ Thay vì dùng mã hóa/giải mã cho chứng thực thực thể, chúng

ta cũng có thể dùng một Keyed-has function (MAC)

˗ Keyed-hash function

12

07/01/2018

3.3 Using an Asymmetric-Key Cipher

˗ Sử dụng mã hóa khóa bất đối xứng, Secret là private key của Claimant.

Claimant phải chỉ ra rằng private của cô ta có liên quan đến Public key

bằng cách Verifier mã hóa challenge bằng cách dùng Public key của

claimant, sau đó claimant giải mã bằng private key

˗ Có hai hướng theo cơ chế này.

3.3 Using an Asymmetric-Key Cipher

˗ Hướng 1: Unidirectional, asymmetric-key authentication

13

07/01/2018

3.3 Using an Asymmetric-Key Cipher

˗ Hướng 2: Bidirectional, asymmetric-key

3.4 Using Digital Signature

˗ Digital Signature được dùng để chứng thực thực thể. Claimant

dùng Private để tạo chữ ký

˗ Hướng 1: Digital signature, unidirectional

14

07/01/2018

3.4 Using Digital Signature

˗ Hướng 2: Digital signature, bidirectional authentication

4. ZERO-KNOWLEDGE

˗ Trong chứng thực Challenge-response, bí mật của claimant không được

gửi đến verifier, mà Claimant áp dụng một hàm trên challenge gửi bởi

Verifier mà bao gồm cả bí mật của cô ta. Trong vài phương pháo

Challenge-response, verifier biết bí mật của claimant, mà có thể bị lạm

dụng bời những verifier không trung thực. Nói một cách khác, Verifier có

thể trích lọc ra được những thông tin về bí mật từ claimant bằng cách

chọn trước một tập các challenge.

˗ Trong chứng thực Zero-knowlegge, Clainmant không tiết lộ bất kỳ cái gì

mà có thể gây nguy hại đến bảo mật của bí mật. Claimant chứng minh

với verifier rằng cô ta biết một bí mật mà không hề tiết lộ nó.

15

07/01/2018

4.1 Giao thức Fiat_Shamir

˗ Ví dụ: Cave Example

16

07/01/2018

4.2 Giao thức Feige-Fiat-Shamir

4.3 Giao thức Guillou-Quisquater

17

07/01/2018

5. Biometrics

˗ Sinh trắc học (Biometric) là phép đo lường về các đặc tính sinh lý học

hoặc hành vi học mà nhận dạng một con người . Sinh trắc học đo lường

các đặc tính mà không thể đoán, ăn cắp hoặc chia sẻ.

˗ Chúng ta sẽ thảo luận các vấn đề sau

° Components (thành phần)

° Enrollment (ghi nhận vào)

° Authentication (chứng thực)

° Techniques (Kỹ thuật)

° Accuracy (độ chính xác)

° Applications (các cứng dụng)

Components

˗ Vài Component cần cho sinh trắc học, bao gồm các thiết bị thu nhận đặc

tính của sinh trắc học, xử lý các đặc tính sinh trắc học, và thiết bị lưu trữ.

18

07/01/2018

Enrollment

˗ Trước khi dùng bất cứ kỹ thuật sinh trắc học để chứng thực, đặc tính

tương ứng của mỗi người trong cộng động cần phải có sẳn trong CSDL,

quá trình này được gọi là enrollment

Authentication

˗ Chứng thực (Authentcation) được thực hiện bởi sự thẩm tra (Verification)

hoặc nhận dạng (identication)

° Verification: Đặc tính của một người được so khớp với một mẫu tin

đơn trong CSDL để xác định cô ta có phải là người mà cô ta đang tự

khai không

° Identication: Đặc tính của một người được so khớp với tất cả các mẫu

tin có trong CSDL để xác định cô ta có một mẫu tn trong CSDL.

19

07/01/2018

Techiques

˗ Các kỹ thuật sinh trắc học có thể được chia thành hai hướng chính: sinh

lý học và dáng điệu học

Accuracy

˗ Độ chính xác (Accuracy) của các kỹ thuật sinh trắc học được đo lường

bằng cách dùng hai tham số:

° False Rejection Rate (FRR)

° False Acceptance Rate (FAR)

20

Bài giảng An toàn hệ thống thông tin - Chương 6: Chứng thực thực thể (Entity Authentication) - Nguyễn Thị Hạnh