Giáo trình An toàn và bảo mật thông tin (Trình độ Cao đẳng)

UỶ BAN NHÂN DÂN TỈNH HẢI PHÒNG

TRƯỜNG CĐCN HẢI PHÒNG

GIÁO TRÌNH

Tên môn học: An toàn và bảo mật thông tin

TRÌNH ĐỘ CAO ĐẲNG

HẢI PHÒNG

1

Mục lục

L Ờ I GI Ớ I THI Ệ U ..................................................................................................................................2

CHƯƠNG 1: TỔ NG QUAN V Ề AN TOÀN THÔNG TI N ....................................................................6

1.1

1.2

M ở đầ u (Gi ớ i thi ệ u v ề an toàn thông tin).................................................................................6

S ự c ầ n thi ết để b ả o v ệ thông tin. ..............................................................................................7

1.3 Virus và các bi ệ n pháp phòng ch ố ng virus; ...................................................................................7

1.4. Các đặc trưng xâm nhậ p................................................................................................................7

1.5. Đặc trưng kỹ thu ậ t c ủ a an toàn b ả o m ậ t ........................................................................................8

C HƯƠNG 2: CÁC LỖ H Ổ NG TRONG B Ả O M ẬT VÀ CÁC ĐIỂ M Y Ế U C Ủ A M Ạ NG .................10

2.2. L ỗ h ổ ng b ả o m ậ t trên Interne t ................................................................................................11

2.4. Các bi ệ n pháp phát hi ệ n h ệ th ố ng b ị t ấ n công........................................................................12

CHƯƠNG 3: KỸ THU Ậ T MÃ HÓ A ....................................................................................................14

3.2. Khái ni ệ m v ề mã hóa và gi ả i m ã ............................................................................................15

3.4. Gi ớ i thi ệ u mã hóa DES ..........................................................................................................16

3.7. Mã khóa công khai RSA ........................................................................................................21

3.9. So sánh h ệ khóa bí m ậ t và khóa công khai.............................................................................23

CHƯƠNG 4: CHỮ KÝ ĐIỆ N T Ử VÀ CH Ứ NG CH Ỉ S Ố .....................................................................24

4.1. Gi ớ i thi ệ u................................................................................................................................24

4.3. V ấn đề xác th ự c và ch ữ kí điệ n t ử ..........................................................................................25

4.5. Phân lo ạ i các h ệ th ố ng ch ữ ký điệ n t ử ....................................................................................26

4.7

Gi ả i thu ậ t b ả o m ật hàm băm SHA .........................................................................................27

CHƯƠNG 5: QUẢ N TR Ị TÀI KHO ẢN NGƯỜ I DÙNG.....................................................................28

5.2. H ệ th ố ng xác th ự c ..................................................................................................................30

5.4. Ứ ng d ụ ng b ả o m ậ t trong SSL.................................................................................................32

TH Ự C HÀNH: K Ỹ THU Ậ T MÃ HÓA DES (Ca 1 ).............................................................................36

TH Ự C HÀNH: MÃ HÓA CÔNG KHAI RSA (CA 2)..........................................................................42

TH Ự C HÀNH: THU Ậ T TOÁN CH Ữ KÝ ĐIỆ N T Ử DS A ..................................................................48

TH Ự C HÀNH: CH Ứ NG CH Ỉ S Ố ..........................................................................................................54

3

AN TOÀN BẢO MẬT THÔNG TIN

I. Vị trí, tính chất của mô đun:

- Vị trí: Mô đun được bố trí dạy sau khi học xong các môn học chung, môn

học mô đun: Mạng máy tính và Quản trị mạng 1

- Tính chất: Là mô đun chuyên môn nghề bắt buộc.

II. Mục tiêu mô đun:

- Về kiến thức:

 Xác định được các thành phần cần bảo mật cho một hệ thống mạng;

 Trình bày được các hình thức tấn công vào hệ thống mạng;

 Mô tả được cách thức mã hoá thông tin;

 Trình bày được quá trình NAT trong hệ thống mạng;

 Mô tả được nguyên tắc hoạt động của danh sách truy cập;

 Liệt kê được danh sách truy cập trong chuẩn mạng TCP/IP;

 Phân biệt được các loại virus thông dụng và cách phòng chống

virus.

- Về kỹ năng:

 Cài đặt các biện pháp cơ bản phòng chống tấn công trong mạng;

 Cấu hình được phương thức NAT trong hệ thống mạng;

 Cấu hình được danh sách truy cập trong hệ thống mạng;

 Đánh giá phát hiện khi bị tấn công trong mạng;

 Khắc phục sự cố mạng khi bị tấn công.

- Về năng lực tự chủ và trách nhiệm:

 Tuân thủ các quy đinh trong phòng thực hành, rèn luyện tính cẩn

thận, chính xác, kiên trì trong công việc và hướng dẫn của giáo viên;

 Tác phong công nghiệp và làm việc theo nhóm. Đảm bảo an toàn

cho người và thiết bị tại nơi làm việc.

III. Nội dung mô đun:

1. Nội dung tổng quát và phân bổ thời gian:

Số TT Tên chương/mục

I

Tổng quan về bảo mật và an toàn mạng

Các khái niệm chung

Nhu cầu bảo vệ thông tin

Mã hóa thông tin

Đặc điểm chung

II

Mã hóa cổ điển

4

Mã hóa dùng khóa công khai

NAT

Giới thiệu

Các kỹ thuật NAT cổ điển

NAT trong window server

Bảo vệ mạng bằng tường lửa

Các kiểu tấn công

III

IV

Các mức bảo vệ an toàn

Internet Firewall

V

Danh sách điều khiển truy cập

Khái niệm về danh sách truy cập

Nguyên tắc hoạt động của danh sách truy cập

Virus và cách phòng chống

Giới thiệu tổng quan về virus

Cách thức lây lan và phân loại virus

Ngăn chặn sự xâm nhập virus

VI

5

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

MỤC TIÊU CỦA BÀI

Sau khi học xong bài này người học có khả năng

Kiꢀn thꢁc:

- Trình bày được lịch sử phát triển và sự cần thiết của an toàn thông tin;

- Trình bày được khái niệm Virus và các biện pháp phòng chống virus;

Kꢂ năng: Thực hiện các thao tác an toàn thông tin với máy tính.

Thái độ:

- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;

- Tích cực vận dụng kiến thức đã học vào thực tế.

NỘI DUNG

1.1

Mở đầu (Giới thiệu về an toàn thông tin)

Khái niệm an toàn thông tin

An toàn thông tin là: là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ

tầng thông tin.

- Mục tiêu hướng tới.

- Đảm bảo an toàn thông tin

Các nguyên tắc nền tảng của ATTT (mô hình C-I-A)

- Tính bí mật;

- Tính toàn vẹn;

- Tính sẵn sàng

Yêu cầu của một hệ thống thông tin an toàn và bảo mật

- Tính bảo mật.

- Tính chứng thực

- Tính không từ chối

Vai trò của mật mã trong việc bảo mật thông tin trên mạng.

6

1.2

Sự cần thiết để bảo vệ thông tin.

Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem

lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng

chứa rất nhiều điểm yếu và rủi do

Mục đích của an toàn thông tin

- Bảo vệ tài nguyên của hệ thống

- Bảo đảm tính riêng tư

1.3 Virus và các biện pháp phòng chống virus;

Khái niệm virus máy tính

- Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,

file khác mà người sữ dụng không hay biết.

- Worm

- Trojan Horse

- Spyware

- Adware

Các cách lây nhiễm

- Lây nhiễm theo cách cổ điển;

- Lây nhiễm qua thư điện tử;

- Lây nhiêm qua mạng Internet

Các cách phòng chống

- Sử dụng phần mềm diệt virus.

- Sử dụng tường lửa cá nhân;

- Cập nhật các bản vá lỗi của hệ điều hành;

- Vận dụng kinh nghiệm sử dụng máy tính;

- Bảo vệ dữ liệu máy tính

1.4. Các đặc trưng xâm nhập

Các hình thức xâm nhập hệ thống thông tin:

7

- Interruption (Gián đoạn);

- Interception (ngăn chặn);

- Modification (can thiệp);

- Fabrication (mạo danh).

Các phương thức tấn công

- Tấn công từ chối dịch vụ (Denial of Service);

- Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS)

- Tấn công giả danh (Spoofing attack);

- Tấn công xen giữa (Man-in-the-middle attack);

- Tấn công phát lại (Replay attack);

- Nghe lén (Sniffing attack);

- Tấn công mật khẩu (Password attack).

1.5. Đặc trưng kỹ thuật của an toàn bảo mật

Yêu cầu của một hê thống thông tin an toàn và bảo mật

Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an

toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên.

Như vậy hệ truyền tin phải có các đặt tính sau:

1) Tính bảo mật (Confidentiality)

2) Tính chứng thực (Authentication)

3) Tính không từ chối (Nonrepudiation)

Vai trò của mật mã trong việc bảo mật thông tin

Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của

bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật

(confidentiality), tính chứng thực (authentication) và tính không từ chối (non-

repudiation) của một hệ truyền tin.

Các giao thức thực hiện bảo mật.

8

Sau khi tìm hiểu về mật mã, chúng ta sẽ tìm hiểu về cách ứng dụng

chúng vào thực tế thông qua một số giao thức bảo mật phổ biến hiện nay là:

 Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.

 Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai.

 Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến

trong Web và thương mại điện tử.

 PGP và S/MIME: bảo mật thư điện tử email.

Bảo vệ hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài

Để thực hiện việc bảo vệ này, người ta dùng khái niệm “kiểm soát truy cập”

(Access Control). Khái niệm kiểm soát truy cập này có hai yếu tố sau:

 Chứng thực truy cập (Authentication): xác nhận rằng đối tượng (con người hay

chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: để sử dụng

máy tính thì trước tiên đối tượng phải logon vào máy tính bằng username và

password. Ngoài ra, còn có các phương pháp chứng thực khác như sinh trắc học

(dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…).

 Phân quyền (Authorization): các hành động được phép thực hiện sau khi đã

truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào

hệ điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc

bạn chỉ có quyền đọc file mà không có quyền xóa file.

9

CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU

CỦA MẠNG

MỤC TIÊU CỦA BÀI

Sau khi học xong bài này người học có khả năng

Kiꢀn thꢁc:

- Trình bày được giao thức TCP/IP và các lỗ hổng bảo mật trên mạng

Internet;

- Trình bày được các phương thức tân công trên mạng và các biện pháp

phòng tránh.

Kꢂ năng: Thực hiện cách cấu hình phát hiện và hạn chế tấn công trên mạng

Thái độ:

- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;

- Tích cực vận dụng kiến thức đã học vào thực tế.

NỘI DUNG

2.1.Giao thức TCP/IP

Giới thiệu mô hình TCP/IP

Lịch sử phát triển của TCP/IP:

- Đầu năm 1980, bộ giao thức TCP/IP ra đời làm giao thức chuẩn cho mạng

ARPANET và các mạng của DoD.

Khái niệm và lịch sử phát triển

TCP/IP là bộ các giao thức có vai trò xác định quá trình liên lạc trong

mạng và quan trọng hơn cả là định nghĩa “hình dạng” của một đơn vị dữ liệu và

những thông tin chứa trong nó để máy tính đích có thể dịch thông tin một cách

chính xác.

Kiến trúc TCP/IP

Bộ giao thức TCP/IP đƣợc phân làm 4 tầng:

- Tầng ứng dụng (Application Layer)

10

- Tầng giao vận (Transport Layer)

- Tầng Internet (Internet Layer)

- Tầng truy cập mạng (Network access Layer)

Các giao thức tương ứng với các lớp trong mô hình TCP/IP

- Các giao thức trong lớp ứng dụng;

- Các giao thức trong lớp vận chuyển;

- Các giao thức trong lớp Mạng;

- Các giao thức trong lớp truy cập mạng.

Quá trình đóng gói dữ liệu trong mô hình TCP/IP

Quá tình đóng gói dữ liệu được tiến hành theo nhiều bước và được chi

tiết hóa bằng hình vẽ.

Giao thức TCP và UDP

– TCP cung cấp luồng dữ liệu tin cậy giữa 2 trạm, nó sử dụng các cơ chế như

chia nhỏ các gói tin ở tầng trên thành các gói tin có kích thước thích hợp cho

tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian timeout để đảm bảo

bên nhân biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy nên

tầng trên sẽ không cần quan tâm đến nữa.

– UDP cung cấp một dịch vụ rất đơn giản hơn cho tầng ứng dụng . Nó chỉ gửi

dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được tới đích.

Các cơ chế đảm bảo độ tin cậy được thực hiện bởi tầng trên Tầng ứng dụng.

2.2. Lỗ hổng bảo mật trên Internet

Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể

xâm nhập trái phép vào hệ thống.

Các loại lỗ hổng trong bảo mật:

- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial

of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ,

11

gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền truy

cập hệ thống.

- Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ

thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin.

- Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp

vào hệ thống, có thể phá hủy toàn bộ hệ thống.

2.3. Một số phương thức tấn công

- Tấn công trực tiếp;

- Kỹ thuật đánh lừa (Social Engineering);

- Kỹ thuật tấn công vào vùng ẩn;

- Tấn công vào các lỗ hổng bảo mật;

- Nghe trộm;

- Kỹ thuật giả mạo địa chỉ;

- Tấn công vào hệ thống có cấu hình không an toàn;

- Tấn công dùng Cookies;

- Can thiệp vào tham số trên URL;

- Vô hiệu hóa dịch vụ;

- Một số kiểu tấn công khác.

2.4. Các biện pháp phát hiện hệ thống bị tấn công

Khái niệm “Phát hiện xâm nhập”

Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử

dụng trong quá trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên

một hệ thống máy tính hoặc mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có

thể xảy ra, đó là các vi phạm hoặc các mối đe dọa sắp xảy ra xâm phạm chính

sách bảo mật máy tính.

Hệ thống phát hiện xâm nhập trái phép.

12

Giới thiệu về hệ thống phát hiện xâm nhập

Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một

thiết bị phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám

sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng

máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và

đưa ra cảnh báo.

Phân loại IDS

- NIDS – Hệ thống IDS dựa trên mạng;

- IDS dựa trên máy chủ;

- IDS dựa trên ứng dụng;

- IDS dựa trên dấu hiệu;

- IDS dựa trên thống kê sự bất thường.

Cơ chế hoạt động của IDS

- Phát hiện dựa trên sự bất thường;

- Phát hiện thông qua giao thức (Protocol);

- Phát hiện nhờ quá trình tự học.

2.5.Các biện pháp phòng ngừa

Tường lửa (Firewall)

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự

truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm

nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không

hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet.

Hệ thống Proxy Server

Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình

ứng dụng) đóng vai trò trung gian cho các yêu cầu giữa người dùng tìm kiếm tài

nguyên với hệ thống máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và

Internet.

13

Tạo đường hầm (Tuneling)

Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung

gian (thường là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính

này đến máy tính qua hệ thống mạng. Kỹ thuật này cho phép mã hóa và tiếp

nhận đối với toàn bộ gói tin IP. Các cổng bảo mật sử dụng kỹ thuật này để cung

cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng.

Thiết bị kiểm soát nội dung SCM (Secure Content Management).

Secure Content Management (SCM) là một thiết bị mạng chuyên dụng

được đặt sau tường lửa và trên một vùng mạng để bảo vệ cho toàn bộ hệ thộng

phía sau.

Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính

kèm, email hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,…

để tìm Virus/Spam, Spyware, Keyloggerm Phishing,…

CHƯƠNG 3: KỸ THUẬT MÃ HÓA

MỤC TIÊU CỦA BÀI

Sau khi học xong bài này người học có khả năng

Kiꢀn thꢁc:

- Trình bày được khái niệm mã hóa và giải mã.

- Trình bày được các thuật toán mã hóa DES, phương pháp mã hóa công

khai.

Kĩ năng: Mô tả được hoạt động của các hệ thống lai.

Thái độ:

- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;

- Tích cực vận dụng kiến thức đã học vào thực tế.

NỘI DUNG

3.1. Giới thiệu

Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật

thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin

14

bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới

hiểu được.

3.2. Khái niệm về mã hóa và giải mã

Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào

đó được gọi là quá trình mã hoá (encryption). Quá trình biến đổi thông tin mật

về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption).

Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật

mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thông

tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã

hóa và giải mã.

Các thành phần trong một hệ thống mật mã điển hình bao gồm:

-Plaintext: là thông tin gốc cần truyền đi giữa các hệ thống thông tin

-Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thông tin mật

từ thông tin gốc.

-Key: khóa mật mã, gọi tắt là khóa. Đây là thông tin cộng thêm mà thuật tóan

mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật.

-Ciphertext: thông tin đã mã hóa (thông tin mật). Đây là kết quả của thuật toán

mã hóa.

-Decryption algorithm: Thuật tóan giải mã. Đầu vào của thuật tóan này là thông

tin đã mã hóa (ciphertext) cùng với khóa mật mã. Đầu ra của thuật tóan là thông

tin gốc (plaintext) ban đầu.

3.3. Kỹ thuật mã hóa khóa bí mật

Kỹ thuật mã hoá được chia thành hai loại: mã hoá dùng khoá đối xứng

(symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key

encryption) như sẽ trình bày trong các phần tiếp theo.

Các tiêu chí đặc trưng của một hệ thống mã hóa:

Một hệ thống mã hóa bất kỳ được đặc trưng bởi 3 tiêu chí sau đây:

-Phương pháp mã (operation): có hai phương pháp mật mã bao gồm thay thꢀ

(substitution) và chuyển vị (transposition).

-Số khóa sử dụng (number of keys): nếu phía mã hóa (phía gởi) và phía giải mã

(phía nhận) sử dụng chung một khóa, ta có hệ thống mã dùng khoá đối xứng

(symmetric key) - gọi tắt là mã đối xꢁng hay còn có các tên gọi khác như mã một

khóa (single-key), mã khóa bí mật (secret key) hoặc mã quy ước (conventional

cryptosystem).

15

-Cách xử lý thông tin gốc (mode of cipher): thông tin gốc có thể được xử lý

liên tục theo từng phần tử , khi đó ta có hệ thống mã dòng (stream cipher).

Tấn công một hệ thống mật mã

Tấn công (attack) hay bẻ khoá (crack) một hệ thống mật mã là quá trình

thực hiện việc giải mã thông tin mật một cách trái phép.

Kẻ tấn công thường không có đầy đủ 3 thông tin này, do đó, thường cố

gắng để giải mã thông tin bằng hai phương pháp sau:

-Phương pháp phân tích mã (cryptanalysis): dựa vào bản chất của thuật tóan

mã hóa, cùng với một đọan thông tin gốc hoặc thông tin mật có được, kẻ tấn

công tìm cách phân tích để tìm ra tòan bộ thông tin gốc hoặc tìm ra khóa, rồi sau

đó thực hiện việc giải mã toàn bộ thông tin

mật.

-Phương pháp thử tuần tự (brute-force): bằng cách thử tất cả các khóa có thể,

kẻ tấn công có khả năng tìm được khóa đúng và do đó giải mã được thông tin

mật.

Hai thành phần đảm bảo sự an toàn của một hệ thống mật mã là thuật toán mã

(bao gồm thuật toán mã hoá và thuật toán giải mã) và khoá.

Trong thực tế, thuật tóan mã không được xem như một thông tin bí mật,

bởi vì mục đích xây dựng một thuật tóan mã là để phổ biến cho nhiều người

dùng và cho nhiều ứng dụng khác nhau, hơn nữa việc che giấu chi tiết của một

thuật tóan chỉ có thể tồn tại trong một thời gian ngắn, sẽ có một lúc nào đó, thuật

tóan này sẽ được tiết lộ ra, khi đó tòan bộ hệ thống mã hóa trở nên vô dụng. Do

vậy, tất cả các tình huống đều giả thiết rằng kẻ tấn công đã biết trước thuật tóan

mã.

Như vậy, thành phần quan trọng cuối cùng của một hệ thống mã là khóa

của hệ thống, khóa này phải được giữ bí mật giữa các thực thể tham gia nên

được gọi là khóa bí mật.

3.4. Giới thiệu mã hóa DES

16

Kỹ thuật mật mã đối xứng được đặc trưng bởi việc sử dụng một khóa

duy nhất cho cả quá trình mã hóa và giải mã thông tin. Bằng một cách an tòan

nào đó, khóa chung này phải được trao đổi thống nhất giữa bên gởi và bên nhận

(tức bên mã hóa và bên giải mã), đồng thời được giữ bí

mật trong suốt thời gian sử dụng.

Kỹ thuật mật mã đối xứng còn được gọi là mật mã quy ước

conventional encryption)hoặc mật mã dùng khóa bí mật (secret key encryption).

Thuật toán mật mã DES

DES (Data Encryption Standard) là một thuật tóan mã dựa trên cấu trúc

Feistel được chuẩn hóa năm 1977 bởi cơ quan chuẩn hóa Hoa kỳ (NIST –

National Institute of Standards and Technology).

Cơ chế thực hiện mã hóa DES được mô tả ở hình:

DES xác định các thông số của cấu trúc Feistel như sau:

- Kích thước khối: 64 bit

- Chiều dài khoá: 64 bit, thực ra là 56 bit như sẽ trình bày sau đây

- Số vòng lặp: 16 vòng

- Thuật toán sinh khoá phụ: kết hợp phép dịch trái và hoán vị

- Hàm F: kết hợp các phép XOR, hoán vị và thay thế (S-box).

Thông số của DES được trình bày sau đây:

-Phép hoán vị khởi đầu (IP);

-Hàm F;

-Thuật toán sinh khoá phụ.

Thuật tóan mật mã DES là một thuật tóan dựa trên cấu trúc Feistel

nhưng có cách thực hiện phức tạp, được thiết kế dựa trên các thao tác xử lý bit

(bitwise operartions) như phép XOR, phép dịch, hoán vị, … do đó thích hợp với

các thiết bị mã hoá bằng phần cứng. Thuật toán DES không dễ phân tích, và

trong một thời gian dài đã được giữ bí mật.

Thuật toán mật mã Triple DES

17

Tripple DES hay DES bội ba (viết tắt là 3DES hoặc TDES) là một phiên

bản cải tiến của DES. Nguyên tắc của Triple DES là tăng chiều dài khoá của

DES để tăng độ an toàn, nhưng vẫn giữ tính tương thích với thuật toán DES cũ.

Triple DES với hai khoá là một thuật toán mật mã an toàn, tránh được

các tấn công xen giữa và đã được sử dụng thay thế DES trong nhiều ứng dụng

(ANS X9.17, ISO 8732, …).

Một phiên bản khác của Triple DES là sử dụng cả 3 khoá khác nhau

K1, K2, K3 với cùng cấu trúc như trên. Khi đó chiều dài khoá của thuật toán là

K1 + K2 + K3 = 168 bit. Khi cần thiết phải đảm bảo tính tương thích với các

ứng dụng DES cũ thì đặt K1 = K2 hoặc K3 = K2. Triple DES 3 khoá cũng đã

được ứng dụng trong nhiều dịch vụ, đặc biệt là PGP, S/MIME Thuật toán mật

mã AES

Triple DES đã khắc phục được các điểm yếu của DES và hoạt động ổn

định trong nhiều ứng dụng trên mạng Internet. Tuy nhiên, Triple DES vẫn còn

chứa những nhược điểm của DES như tính khó phân tích, chỉ thích hợp với thực

thi bằng phần cứng chứ không thích hợp cho thực thi bằng phần mềm, kích

thước khối cố định 64 bit, …

Các thuật toán mật mã đối xứng khác

Ngoài 2 thuật toán mật mã hóa tiêu chuẩn ở trên (Triple DES được xem

như là một phiên bản nâng cấp của DES chứ không phải một thuật toán độc lập),

có nhiều thuật toán khác cũng đã chứng minh được tính hiệu quả của nó và được

sử dụng trong một số ứng dụng khác nhau:

- IDEA (International Data Encryption Algorithm) là một thuật toán mật mã

đối xứng được phát triển ở Thụy điển năm 1991.

-Blowfish được phát triển năm 1993, bởi một người nghiên cứu mật mã hóa độc

lập (Bruce Schneier) và cũng đã nhanh chóng được sử dụng song song với giải

thuật mã hóa DES.

-RC4 và RC5 là giải thuật mã hóa đối xứng được thiết kế bởi Ron Rivest (một

trong những người phát minh ra giải thuật mã hóa bất đối xứng RSA) vào năm

18

1988 và 1994.

-CAST-128 là một thuật toán khác được thiết kế năm 1997 bởi Carlisle Adams

và Stafford Tavares.

3.5. Ưu, nhược điểm của mã hóa đối xứng

- Tác dụng đồng loạt. Khi ta thay đổi 1 bit trong khoá sẽ gây ra tác động đồng

loạt làm thay đổi nhiều bit trên bản mã. Đây là tính chất mong muốn của khoá

trong thuật toán mã hoá.

- Sức mạnh của DES – kích thước khoá. Độ dài của khoá trong DES là 56 bít

có 2⁵⁶= 7.2 x 10¹⁶giá trị khác nhau. Đây là con số rất lớn nên tìm kiếm duyệt rất

khó khăn.

- Sức mạnh của DES – tấn công thời gian. Đây là dạng tấn công vào cài đặt

thực tế của mã. Ở đây sử dụng hiểu biết về quá trình cài đặt thuật toán mà suy ra

thông tin về một sô khoá con hoặc mọi khoá con.

- Sức mạnh của DES – tấn công thám mã. Có một số phân tích thám mã trên

DES, từ đó đề xuất xây dựng một số cấu trúc sâu về mã DES. Rồi bằng cách thu

thập thông tin về mã, có thể đoán biết được tất cả hoặc một số khoá con đang

dùng.

- Thám mã sai phân: Thám mã sai phân là tấn công thống kê chống lại các mã

Fiestel. Mã Fiestel dùng các cấu trúc mã chưa được sử dụng trước kia như thiết

kế S-P mạng có đầu ra từ hàm f chịu tác động bởi cả đầu vào và khoá. Do đó

không thể tìm lại được giá trị bản rõ mà không biết khoá.

- Thám mã tuyến tính: Đây là một phát hiện mới khác. Nó cũng dùng phương

pháp thống kê. Ở đây cần lặp qua các vòng với xác suất giảm, nó được phát triển

bởi Matsui và một số người khác vào đầu những năm 90.

3.6. Cơ sở hạ tầng khóa công khai

Cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) là một hệ

thống hạ tầng bao gồm các thiết bị phần cứng, chương trình phần mềm, các

chính sách, thủ tục và con người cần thiết để tạo ra, quản lý, lưu trữ và phân

19

phối các chứng thực khóa phục vụ cho mục đích phổ biến khóa công khai của

các thực thể thông tin.

Mục tiêu của PKI là cung cấp một môi trường làm việc phối hợp, trong đó,

thiết bị, phần mềm của nhiều nhà sản xuất khác nhau có thể cùng sử dụng chung

một cấu trúc chứng thực khóa.

- Các thành phần của PKI:

 End Entity (thực thể đầu cuối): là người sử dụng, một phần mềm hoặc một

thiết bị tham gia vào quá trình trao đổi thông tin sử dụng mã hóa khóa công

khai.

 Certificate Authority (CA): là thực thể tạo ra các chứng thực khóa.

 Registration Authority (RA): là một thành phần tùy chọn của PKI, có chức

năng xử lý một số công việc quản lý nhằm giảm tải cho CA, chẳng hạn như

đăng ký thực thể đầu cuối, kiểm chứng các thực thể đầu cuối, tạo ra các cặp

khóa publicprivate, …

 Repository: Kho lưu trữ chứng thực khóa và cung cấp chứng thực khóa cho

các thực thể đầu cuối khi có yêu cầu.

 Certificate revocation list (CRL) Issuer: Một chứng thực khóa khi đã được tạo

ra và phổ biến thì không có nghĩa là nó sẽ được tồn tại vĩnh viễn.

- Các chức năng quản lý của PKI:

 Đăng ký (Registration);

 Khởi tạo (Initialization);

 Chꢁng thực (Certification);

 Phục hồi khóa (Key-pair recovery);

 Cập nhật khóa (Key-pair update);

 Yêu cầu thu hồi chꢁng thực khóa (Revocation request).

20

CHƯƠNG 3: KỸ THUẬT MÃ HÓA (TIẾP)

MỤC TIÊU CỦA BÀI

Sau khi học xong bài này người học có khả năng

Kiꢀn thꢁc:

- Trình bày được các đặc điểm của mã hóa công khai RSA.

- So sánh được các hệ khóa bí mật và khóa công khai.

Kĩ năng: Mô tả được hoạt động của các hệ thống lai.

Thái độ:

- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;

- Tích cực vận dụng kiến thức đã học vào thực tế.

NỘI DUNG:

3.7. Mã khóa công khai RSA

(RIVEST SHAMIR ADELMAN)

Đặc trưng của kỹ thuật mật mã bất đối xứng là dùng 2 khóa riêng biệt cho

hai quá trình mã hóa và giải mã, trong đó có một khóa được phổ biến công khai

(public key hay PU) và khóa còn lại được giữ bí mật (private key hay PR).

Thuật toán mật mã bất đối xứng dựa chủ yếu trên các hàm toán học hơn

là dựa vào các thao tác trên chuỗi bit. Mật mã hóa bất đối xứng còn được gọi

bằng một tên thông dụng hơn là mật mã hóa dùng khóa công khai (public key

encryption).

Thuật toán mật mã RSA

RSA là thuật toán mật mã bất đối xứng được xây dựng bởi Ron Rivest, Adi

Shamir và Len Adleman tại viện công nghệ Massachusetts (MIT), do đó được

đặt tên là Rivest – Shamir –Adleman hay RSA. Thuật toán này ra đời năm 1977

và cho đến nay đã được ứng dụng trong nhiều lĩnh vực.

RSA là một thuật toán mật mã khối, kích thước khối thông thường là

1024 hoặc 2048 bit. Thông tin gốc của RSA được xử lý như các số nguyên. Ví

dụ, khi chọn kích thước khối của thuật toán là 1024 bit thì số nguyên này có giá

trị từ 0 đến 21024 – 1, tương đương với số thập phân có 309 chữ số.

21