Giáo trình An toàn và bảo mật thông tin (Trình độ Cao đẳng)
UỶ BAN NHÂN DÂN TỈNH HẢI PHÒNG
TRƯỜNG CĐCN HẢI PHÒNG
GIÁO TRÌNH
Tên môn học: An toàn và bảo mật thông tin
TRÌNH ĐỘ CAO ĐẲNG
HẢI PHÒNG
1
Mục lục
LỜI GIỚI THIỆU ..................................................................................................................................2
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN....................................................................6
Mở đầu (Giới thiệu về an toàn thông tin).................................................................................6
Sự cần thiết để bảo vệ thông tin. ..............................................................................................7
1.3 Virus và các biện pháp phòng chống virus; ...................................................................................7
1.4. Các đặc trưng xâm nhập................................................................................................................7
1.5. Đặc trưng kỹ thuật của an toàn bảo mật........................................................................................8
2.2. Lỗ hổng bảo mật trên Internet................................................................................................11
2.4. Các biện pháp phát hiện hệ thống bị tấn công........................................................................12
CHƯƠNG 3: KỸ THUẬT MÃ HÓA....................................................................................................14
3.2. Khái niệm về mã hóa và giải mã............................................................................................15
3.4. Giới thiệu mã hóa DES ..........................................................................................................16
3.7. Mã khóa công khai RSA ........................................................................................................21
3.9. So sánh hệ khóa bí mật và khóa công khai.............................................................................23
CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ.....................................................................24
4.1. Giới thiệu................................................................................................................................24
4.3. Vấn đề xác thực và chữ kí điện tử..........................................................................................25
4.5. Phân loại các hệ thống chữ ký điện tử....................................................................................26
Giải thuật bảo mật hàm băm SHA .........................................................................................27
CHƯƠNG 5: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG.....................................................................28
5.2. Hệ thống xác thực ..................................................................................................................30
5.4. Ứng dụng bảo mật trong SSL.................................................................................................32
THỰC HÀNH: KỸ THUẬT MÃ HÓA DES (Ca 1).............................................................................36
THỰC HÀNH: MÃ HÓA CÔNG KHAI RSA (CA 2)..........................................................................42
THỰC HÀNH: THUẬT TOÁN CHỮ KÝ ĐIỆN TỬ DSA..................................................................48
THỰC HÀNH: CHỨNG CHỈ SỐ..........................................................................................................54
3
AN TOÀN BẢO MẬT THÔNG TIN
I. Vị trí, tính chất của mô đun:
- Vị trí: Mô đun được bố trí dạy sau khi học xong các môn học chung, môn
học mô đun: Mạng máy tính và Quản trị mạng 1
- Tính chất: Là mô đun chuyên môn nghề bắt buộc.
II. Mục tiêu mô đun:
- Về kiến thức:
Xác định được các thành phần cần bảo mật cho một hệ thống mạng;
Trình bày được các hình thức tấn công vào hệ thống mạng;
Mô tả được cách thức mã hoá thông tin;
Trình bày được quá trình NAT trong hệ thống mạng;
Mô tả được nguyên tắc hoạt động của danh sách truy cập;
Liệt kê được danh sách truy cập trong chuẩn mạng TCP/IP;
Phân biệt được các loại virus thông dụng và cách phòng chống
virus.
- Về kỹ năng:
Cài đặt các biện pháp cơ bản phòng chống tấn công trong mạng;
Cấu hình được phương thức NAT trong hệ thống mạng;
Cấu hình được danh sách truy cập trong hệ thống mạng;
Đánh giá phát hiện khi bị tấn công trong mạng;
Khắc phục sự cố mạng khi bị tấn công.
- Về năng lực tự chủ và trách nhiệm:
Tuân thủ các quy đinh trong phòng thực hành, rèn luyện tính cẩn
thận, chính xác, kiên trì trong công việc và hướng dẫn của giáo viên;
Tác phong công nghiệp và làm việc theo nhóm. Đảm bảo an toàn
cho người và thiết bị tại nơi làm việc.
III. Nội dung mô đun:
1. Nội dung tổng quát và phân bổ thời gian:
Số TT Tên chương/mục
I
Tổng quan về bảo mật và an toàn mạng
Các khái niệm chung
Nhu cầu bảo vệ thông tin
Mã hóa thông tin
Đặc điểm chung
II
Mã hóa cổ điển
4
Mã hóa dùng khóa công khai
NAT
Giới thiệu
Các kỹ thuật NAT cổ điển
NAT trong window server
Bảo vệ mạng bằng tường lửa
Các kiểu tấn công
III
IV
Các mức bảo vệ an toàn
Internet Firewall
V
Danh sách điều khiển truy cập
Khái niệm về danh sách truy cập
Nguyên tắc hoạt động của danh sách truy cập
Virus và cách phòng chống
Giới thiệu tổng quan về virus
Cách thức lây lan và phân loại virus
Ngăn chặn sự xâm nhập virus
VI
5
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiꢀn thꢁc:
- Trình bày được lịch sử phát triển và sự cần thiết của an toàn thông tin;
- Trình bày được khái niệm Virus và các biện pháp phòng chống virus;
Kꢂ năng: Thực hiện các thao tác an toàn thông tin với máy tính.
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
1.1
Mở đầu (Giới thiệu về an toàn thông tin)
Khái niệm an toàn thông tin
An toàn thông tin là: là an toàn kỹ thuật cho các hoạt động của các cơ sở hạ
tầng thông tin.
- Mục tiêu hướng tới.
- Đảm bảo an toàn thông tin
Các nguyên tắc nền tảng của ATTT (mô hình C-I-A)
- Tính bí mật;
- Tính toàn vẹn;
- Tính sẵn sàng
Yêu cầu của một hệ thống thông tin an toàn và bảo mật
- Tính bảo mật.
- Tính chứng thực
- Tính không từ chối
Vai trò của mật mã trong việc bảo mật thông tin trên mạng.
6
1.2
Sự cần thiết để bảo vệ thông tin.
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem
lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng
chứa rất nhiều điểm yếu và rủi do
Mục đích của an toàn thông tin
- Bảo vệ tài nguyên của hệ thống
- Bảo đảm tính riêng tư
1.3 Virus và các biện pháp phòng chống virus;
Khái niệm virus máy tính
- Virus là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,
file khác mà người sữ dụng không hay biết.
- Worm
- Trojan Horse
- Spyware
- Adware
Các cách lây nhiễm
- Lây nhiễm theo cách cổ điển;
- Lây nhiễm qua thư điện tử;
- Lây nhiêm qua mạng Internet
Các cách phòng chống
- Sử dụng phần mềm diệt virus.
- Sử dụng tường lửa cá nhân;
- Cập nhật các bản vá lỗi của hệ điều hành;
- Vận dụng kinh nghiệm sử dụng máy tính;
- Bảo vệ dữ liệu máy tính
1.4. Các đặc trưng xâm nhập
Các hình thức xâm nhập hệ thống thông tin:
7
- Interruption (Gián đoạn);
- Interception (ngăn chặn);
- Modification (can thiệp);
- Fabrication (mạo danh).
Các phương thức tấn công
- Tấn công từ chối dịch vụ (Denial of Service);
- Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS)
- Tấn công giả danh (Spoofing attack);
- Tấn công xen giữa (Man-in-the-middle attack);
- Tấn công phát lại (Replay attack);
- Nghe lén (Sniffing attack);
- Tấn công mật khẩu (Password attack).
1.5. Đặc trưng kỹ thuật của an toàn bảo mật
Yêu cầu của một hê thống thông tin an toàn và bảo mật
Phần trên đã trình bày các hình thức tấn công, một hệ truyền tin được gọi là an
toàn và bảo mật thì phải có khả năng chống lại được các hình thức tấn công trên.
Như vậy hệ truyền tin phải có các đặt tính sau:
1) Tính bảo mật (Confidentiality)
2) Tính chứng thực (Authentication)
3) Tính không từ chối (Nonrepudiation)
Vai trò của mật mã trong việc bảo mật thông tin
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của
bảo mật thông tin. Mật mã đáp ứng được các nhu cầu về tính bảo mật
(confidentiality), tính chứng thực (authentication) và tính không từ chối (non-
repudiation) của một hệ truyền tin.
Các giao thức thực hiện bảo mật.
8
Sau khi tìm hiểu về mật mã, chúng ta sẽ tìm hiểu về cách ứng dụng
chúng vào thực tế thông qua một số giao thức bảo mật phổ biến hiện nay là:
Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.
Chuẩn chứng thực X509: dùng trong mã hóa khóa công khai.
Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến
trong Web và thương mại điện tử.
PGP và S/MIME: bảo mật thư điện tử email.
Bảo vệ hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài
Để thực hiện việc bảo vệ này, người ta dùng khái niệm “kiểm soát truy cập”
(Access Control). Khái niệm kiểm soát truy cập này có hai yếu tố sau:
Chứng thực truy cập (Authentication): xác nhận rằng đối tượng (con người hay
chương trình máy tính) được cấp phép truy cập vào hệ thống. Ví dụ: để sử dụng
máy tính thì trước tiên đối tượng phải logon vào máy tính bằng username và
password. Ngoài ra, còn có các phương pháp chứng thực khác như sinh trắc học
(dấu vân tay, mống mắt…) hay dùng thẻ (thẻ ATM…).
Phân quyền (Authorization): các hành động được phép thực hiện sau khi đã
truy cập vào hệ thống. Ví dụ: bạn được cấp username và password để logon vào
hệ điều hành, tuy nhiên bạn chỉ được cấp quyền để đọc một file nào đó. Hoặc
bạn chỉ có quyền đọc file mà không có quyền xóa file.
9
CHƯƠNG 2: CÁC LỖ HỔNG TRONG BẢO MẬT VÀ CÁC ĐIỂM YẾU
CỦA MẠNG
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiꢀn thꢁc:
- Trình bày được giao thức TCP/IP và các lỗ hổng bảo mật trên mạng
Internet;
- Trình bày được các phương thức tân công trên mạng và các biện pháp
phòng tránh.
Kꢂ năng: Thực hiện cách cấu hình phát hiện và hạn chế tấn công trên mạng
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
2.1.Giao thức TCP/IP
Giới thiệu mô hình TCP/IP
Lịch sử phát triển của TCP/IP:
- Đầu năm 1980, bộ giao thức TCP/IP ra đời làm giao thức chuẩn cho mạng
ARPANET và các mạng của DoD.
Khái niệm và lịch sử phát triển
TCP/IP là bộ các giao thức có vai trò xác định quá trình liên lạc trong
mạng và quan trọng hơn cả là định nghĩa “hình dạng” của một đơn vị dữ liệu và
những thông tin chứa trong nó để máy tính đích có thể dịch thông tin một cách
chính xác.
Kiến trúc TCP/IP
Bộ giao thức TCP/IP đƣợc phân làm 4 tầng:
- Tầng ứng dụng (Application Layer)
10
- Tầng giao vận (Transport Layer)
- Tầng Internet (Internet Layer)
- Tầng truy cập mạng (Network access Layer)
Các giao thức tương ứng với các lớp trong mô hình TCP/IP
- Các giao thức trong lớp ứng dụng;
- Các giao thức trong lớp vận chuyển;
- Các giao thức trong lớp Mạng;
- Các giao thức trong lớp truy cập mạng.
Quá trình đóng gói dữ liệu trong mô hình TCP/IP
Quá tình đóng gói dữ liệu được tiến hành theo nhiều bước và được chi
tiết hóa bằng hình vẽ.
Giao thức TCP và UDP
– TCP cung cấp luồng dữ liệu tin cậy giữa 2 trạm, nó sử dụng các cơ chế như
chia nhỏ các gói tin ở tầng trên thành các gói tin có kích thước thích hợp cho
tầng mạng bên dưới, báo nhận gói tin, đặt hạn chế thời gian timeout để đảm bảo
bên nhân biết được các gói tin đã gửi đi. Do tầng này đảm bảo tính tin cậy nên
tầng trên sẽ không cần quan tâm đến nữa.
– UDP cung cấp một dịch vụ rất đơn giản hơn cho tầng ứng dụng . Nó chỉ gửi
dữ liệu từ trạm này tới trạm kia mà không đảm bảo các gói tin đến được tới đích.
Các cơ chế đảm bảo độ tin cậy được thực hiện bởi tầng trên Tầng ứng dụng.
2.2. Lỗ hổng bảo mật trên Internet
Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể
xâm nhập trái phép vào hệ thống.
Các loại lỗ hổng trong bảo mật:
- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial
of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ,
11
gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền truy
cập hệ thống.
- Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ
thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin.
- Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp
vào hệ thống, có thể phá hủy toàn bộ hệ thống.
2.3. Một số phương thức tấn công
- Tấn công trực tiếp;
- Kỹ thuật đánh lừa (Social Engineering);
- Kỹ thuật tấn công vào vùng ẩn;
- Tấn công vào các lỗ hổng bảo mật;
- Nghe trộm;
- Kỹ thuật giả mạo địa chỉ;
- Tấn công vào hệ thống có cấu hình không an toàn;
- Tấn công dùng Cookies;
- Can thiệp vào tham số trên URL;
- Vô hiệu hóa dịch vụ;
- Một số kiểu tấn công khác.
2.4. Các biện pháp phát hiện hệ thống bị tấn công
Khái niệm “Phát hiện xâm nhập”
Phát hiện xâm nhập là tập hợp các kỹ thuật và phương pháp được sử
dụng trong quá trình theo dõi các sự kiện bất thường đáng nghi ngờ xảy ra trên
một hệ thống máy tính hoặc mạng, từ đó phân tích tìm ra các dấu hiệu sự cố có
thể xảy ra, đó là các vi phạm hoặc các mối đe dọa sắp xảy ra xâm phạm chính
sách bảo mật máy tính.
Hệ thống phát hiện xâm nhập trái phép.
12
Giới thiệu về hệ thống phát hiện xâm nhập
Một hệ thống phát hiện xâm nhập (IDS-Intrusion Detection System) là một
thiết bị phần cứng hoặc phần mềm theo dõi hệ thống mạng, có chức năng giám
sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên một hệ thống mạng
máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và
đưa ra cảnh báo.
Phân loại IDS
- NIDS – Hệ thống IDS dựa trên mạng;
- IDS dựa trên máy chủ;
- IDS dựa trên ứng dụng;
- IDS dựa trên dấu hiệu;
- IDS dựa trên thống kê sự bất thường.
Cơ chế hoạt động của IDS
- Phát hiện dựa trên sự bất thường;
- Phát hiện thông qua giao thức (Protocol);
- Phát hiện nhờ quá trình tự học.
2.5.Các biện pháp phòng ngừa
Tường lửa (Firewall)
Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự
truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm
nhập không mong muốn từ bên ngoài vào mạng cũng như những kết nối không
hợp lệ từ bên trong ra tới một số địa chỉ nhất định trên Internet.
Hệ thống Proxy Server
Một Proxy Server là một máy chủ (một máy tính hoặc một chương trình
ứng dụng) đóng vai trò trung gian cho các yêu cầu giữa người dùng tìm kiếm tài
nguyên với hệ thống máy chủ dịch vụ hoặc kết nối truy nhập/ truy xuất mạng và
Internet.
13
Tạo đường hầm (Tuneling)
Kỹ thuật tạo đường hầm (tunneling) là cách dùng hệ thống mạng trung
gian (thường là Internet hoặc Extranet) để kết nối logic điểm – điểm, từ máy tính
này đến máy tính qua hệ thống mạng. Kỹ thuật này cho phép mã hóa và tiếp
nhận đối với toàn bộ gói tin IP. Các cổng bảo mật sử dụng kỹ thuật này để cung
cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng.
Thiết bị kiểm soát nội dung SCM (Secure Content Management).
Secure Content Management (SCM) là một thiết bị mạng chuyên dụng
được đặt sau tường lửa và trên một vùng mạng để bảo vệ cho toàn bộ hệ thộng
phía sau.
Thiết bị SCM phân tích sâu vào nội dung của dữ liệu, ví dụ tệp tin đính
kèm, email hay những tệp dữ liệu được tải về qua các giao thức HTTP, FTP,…
để tìm Virus/Spam, Spyware, Keyloggerm Phishing,…
CHƯƠNG 3: KỸ THUẬT MÃ HÓA
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiꢀn thꢁc:
- Trình bày được khái niệm mã hóa và giải mã.
- Trình bày được các thuật toán mã hóa DES, phương pháp mã hóa công
khai.
Kĩ năng: Mô tả được hoạt động của các hệ thống lai.
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG
3.1. Giới thiệu
Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật
thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin
14
bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới
hiểu được.
3.2. Khái niệm về mã hóa và giải mã
Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào
đó được gọi là quá trình mã hoá (encryption). Quá trình biến đổi thông tin mật
về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption).
Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật
mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thông
tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã
hóa và giải mã.
Các thành phần trong một hệ thống mật mã điển hình bao gồm:
-Plaintext: là thông tin gốc cần truyền đi giữa các hệ thống thông tin
-Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thông tin mật
từ thông tin gốc.
-Key: khóa mật mã, gọi tắt là khóa. Đây là thông tin cộng thêm mà thuật tóan
mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật.
-Ciphertext: thông tin đã mã hóa (thông tin mật). Đây là kết quả của thuật toán
mã hóa.
-Decryption algorithm: Thuật tóan giải mã. Đầu vào của thuật tóan này là thông
tin đã mã hóa (ciphertext) cùng với khóa mật mã. Đầu ra của thuật tóan là thông
tin gốc (plaintext) ban đầu.
3.3. Kỹ thuật mã hóa khóa bí mật
Kỹ thuật mã hoá được chia thành hai loại: mã hoá dùng khoá đối xứng
(symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key
encryption) như sẽ trình bày trong các phần tiếp theo.
Các tiêu chí đặc trưng của một hệ thống mã hóa:
Một hệ thống mã hóa bất kỳ được đặc trưng bởi 3 tiêu chí sau đây:
-Phương pháp mã (operation): có hai phương pháp mật mã bao gồm thay thꢀ
(substitution) và chuyển vị (transposition).
-Số khóa sử dụng (number of keys): nếu phía mã hóa (phía gởi) và phía giải mã
(phía nhận) sử dụng chung một khóa, ta có hệ thống mã dùng khoá đối xứng
(symmetric key) - gọi tắt là mã đối xꢁng hay còn có các tên gọi khác như mã một
khóa (single-key), mã khóa bí mật (secret key) hoặc mã quy ước (conventional
cryptosystem).
15
-Cách xử lý thông tin gốc (mode of cipher): thông tin gốc có thể được xử lý
liên tục theo từng phần tử , khi đó ta có hệ thống mã dòng (stream cipher).
Tấn công một hệ thống mật mã
Tấn công (attack) hay bẻ khoá (crack) một hệ thống mật mã là quá trình
thực hiện việc giải mã thông tin mật một cách trái phép.
Kẻ tấn công thường không có đầy đủ 3 thông tin này, do đó, thường cố
gắng để giải mã thông tin bằng hai phương pháp sau:
-Phương pháp phân tích mã (cryptanalysis): dựa vào bản chất của thuật tóan
mã hóa, cùng với một đọan thông tin gốc hoặc thông tin mật có được, kẻ tấn
công tìm cách phân tích để tìm ra tòan bộ thông tin gốc hoặc tìm ra khóa, rồi sau
đó thực hiện việc giải mã toàn bộ thông tin
mật.
-Phương pháp thử tuần tự (brute-force): bằng cách thử tất cả các khóa có thể,
kẻ tấn công có khả năng tìm được khóa đúng và do đó giải mã được thông tin
mật.
Hai thành phần đảm bảo sự an toàn của một hệ thống mật mã là thuật toán mã
(bao gồm thuật toán mã hoá và thuật toán giải mã) và khoá.
Trong thực tế, thuật tóan mã không được xem như một thông tin bí mật,
bởi vì mục đích xây dựng một thuật tóan mã là để phổ biến cho nhiều người
dùng và cho nhiều ứng dụng khác nhau, hơn nữa việc che giấu chi tiết của một
thuật tóan chỉ có thể tồn tại trong một thời gian ngắn, sẽ có một lúc nào đó, thuật
tóan này sẽ được tiết lộ ra, khi đó tòan bộ hệ thống mã hóa trở nên vô dụng. Do
vậy, tất cả các tình huống đều giả thiết rằng kẻ tấn công đã biết trước thuật tóan
mã.
Như vậy, thành phần quan trọng cuối cùng của một hệ thống mã là khóa
của hệ thống, khóa này phải được giữ bí mật giữa các thực thể tham gia nên
được gọi là khóa bí mật.
3.4. Giới thiệu mã hóa DES
16
Kỹ thuật mật mã đối xứng được đặc trưng bởi việc sử dụng một khóa
duy nhất cho cả quá trình mã hóa và giải mã thông tin. Bằng một cách an tòan
nào đó, khóa chung này phải được trao đổi thống nhất giữa bên gởi và bên nhận
(tức bên mã hóa và bên giải mã), đồng thời được giữ bí
mật trong suốt thời gian sử dụng.
Kỹ thuật mật mã đối xứng còn được gọi là mật mã quy ước
conventional encryption)hoặc mật mã dùng khóa bí mật (secret key encryption).
Thuật toán mật mã DES
DES (Data Encryption Standard) là một thuật tóan mã dựa trên cấu trúc
Feistel được chuẩn hóa năm 1977 bởi cơ quan chuẩn hóa Hoa kỳ (NIST –
National Institute of Standards and Technology).
Cơ chế thực hiện mã hóa DES được mô tả ở hình:
DES xác định các thông số của cấu trúc Feistel như sau:
- Kích thước khối: 64 bit
- Chiều dài khoá: 64 bit, thực ra là 56 bit như sẽ trình bày sau đây
- Số vòng lặp: 16 vòng
- Thuật toán sinh khoá phụ: kết hợp phép dịch trái và hoán vị
- Hàm F: kết hợp các phép XOR, hoán vị và thay thế (S-box).
Thông số của DES được trình bày sau đây:
-Phép hoán vị khởi đầu (IP);
-Hàm F;
-Thuật toán sinh khoá phụ.
Thuật tóan mật mã DES là một thuật tóan dựa trên cấu trúc Feistel
nhưng có cách thực hiện phức tạp, được thiết kế dựa trên các thao tác xử lý bit
(bitwise operartions) như phép XOR, phép dịch, hoán vị, … do đó thích hợp với
các thiết bị mã hoá bằng phần cứng. Thuật toán DES không dễ phân tích, và
trong một thời gian dài đã được giữ bí mật.
Thuật toán mật mã Triple DES
17
Tripple DES hay DES bội ba (viết tắt là 3DES hoặc TDES) là một phiên
bản cải tiến của DES. Nguyên tắc của Triple DES là tăng chiều dài khoá của
DES để tăng độ an toàn, nhưng vẫn giữ tính tương thích với thuật toán DES cũ.
Triple DES với hai khoá là một thuật toán mật mã an toàn, tránh được
các tấn công xen giữa và đã được sử dụng thay thế DES trong nhiều ứng dụng
(ANS X9.17, ISO 8732, …).
Một phiên bản khác của Triple DES là sử dụng cả 3 khoá khác nhau
K1, K2, K3 với cùng cấu trúc như trên. Khi đó chiều dài khoá của thuật toán là
K1 + K2 + K3 = 168 bit. Khi cần thiết phải đảm bảo tính tương thích với các
ứng dụng DES cũ thì đặt K1 = K2 hoặc K3 = K2. Triple DES 3 khoá cũng đã
được ứng dụng trong nhiều dịch vụ, đặc biệt là PGP, S/MIME Thuật toán mật
mã AES
Triple DES đã khắc phục được các điểm yếu của DES và hoạt động ổn
định trong nhiều ứng dụng trên mạng Internet. Tuy nhiên, Triple DES vẫn còn
chứa những nhược điểm của DES như tính khó phân tích, chỉ thích hợp với thực
thi bằng phần cứng chứ không thích hợp cho thực thi bằng phần mềm, kích
thước khối cố định 64 bit, …
Các thuật toán mật mã đối xứng khác
Ngoài 2 thuật toán mật mã hóa tiêu chuẩn ở trên (Triple DES được xem
như là một phiên bản nâng cấp của DES chứ không phải một thuật toán độc lập),
có nhiều thuật toán khác cũng đã chứng minh được tính hiệu quả của nó và được
sử dụng trong một số ứng dụng khác nhau:
- IDEA (International Data Encryption Algorithm) là một thuật toán mật mã
đối xứng được phát triển ở Thụy điển năm 1991.
-Blowfish được phát triển năm 1993, bởi một người nghiên cứu mật mã hóa độc
lập (Bruce Schneier) và cũng đã nhanh chóng được sử dụng song song với giải
thuật mã hóa DES.
-RC4 và RC5 là giải thuật mã hóa đối xứng được thiết kế bởi Ron Rivest (một
trong những người phát minh ra giải thuật mã hóa bất đối xứng RSA) vào năm
18
1988 và 1994.
-CAST-128 là một thuật toán khác được thiết kế năm 1997 bởi Carlisle Adams
và Stafford Tavares.
3.5. Ưu, nhược điểm của mã hóa đối xứng
- Tác dụng đồng loạt. Khi ta thay đổi 1 bit trong khoá sẽ gây ra tác động đồng
loạt làm thay đổi nhiều bit trên bản mã. Đây là tính chất mong muốn của khoá
trong thuật toán mã hoá.
- Sức mạnh của DES – kích thước khoá. Độ dài của khoá trong DES là 56 bít
có 256 = 7.2 x 1016 giá trị khác nhau. Đây là con số rất lớn nên tìm kiếm duyệt rất
khó khăn.
- Sức mạnh của DES – tấn công thời gian. Đây là dạng tấn công vào cài đặt
thực tế của mã. Ở đây sử dụng hiểu biết về quá trình cài đặt thuật toán mà suy ra
thông tin về một sô khoá con hoặc mọi khoá con.
- Sức mạnh của DES – tấn công thám mã. Có một số phân tích thám mã trên
DES, từ đó đề xuất xây dựng một số cấu trúc sâu về mã DES. Rồi bằng cách thu
thập thông tin về mã, có thể đoán biết được tất cả hoặc một số khoá con đang
dùng.
- Thám mã sai phân: Thám mã sai phân là tấn công thống kê chống lại các mã
Fiestel. Mã Fiestel dùng các cấu trúc mã chưa được sử dụng trước kia như thiết
kế S-P mạng có đầu ra từ hàm f chịu tác động bởi cả đầu vào và khoá. Do đó
không thể tìm lại được giá trị bản rõ mà không biết khoá.
- Thám mã tuyến tính: Đây là một phát hiện mới khác. Nó cũng dùng phương
pháp thống kê. Ở đây cần lặp qua các vòng với xác suất giảm, nó được phát triển
bởi Matsui và một số người khác vào đầu những năm 90.
3.6. Cơ sở hạ tầng khóa công khai
Cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) là một hệ
thống hạ tầng bao gồm các thiết bị phần cứng, chương trình phần mềm, các
chính sách, thủ tục và con người cần thiết để tạo ra, quản lý, lưu trữ và phân
19
phối các chứng thực khóa phục vụ cho mục đích phổ biến khóa công khai của
các thực thể thông tin.
Mục tiêu của PKI là cung cấp một môi trường làm việc phối hợp, trong đó,
thiết bị, phần mềm của nhiều nhà sản xuất khác nhau có thể cùng sử dụng chung
một cấu trúc chứng thực khóa.
- Các thành phần của PKI:
End Entity (thực thể đầu cuối): là người sử dụng, một phần mềm hoặc một
thiết bị tham gia vào quá trình trao đổi thông tin sử dụng mã hóa khóa công
khai.
Certificate Authority (CA): là thực thể tạo ra các chứng thực khóa.
Registration Authority (RA): là một thành phần tùy chọn của PKI, có chức
năng xử lý một số công việc quản lý nhằm giảm tải cho CA, chẳng hạn như
đăng ký thực thể đầu cuối, kiểm chứng các thực thể đầu cuối, tạo ra các cặp
khóa publicprivate, …
Repository: Kho lưu trữ chứng thực khóa và cung cấp chứng thực khóa cho
các thực thể đầu cuối khi có yêu cầu.
Certificate revocation list (CRL) Issuer: Một chứng thực khóa khi đã được tạo
ra và phổ biến thì không có nghĩa là nó sẽ được tồn tại vĩnh viễn.
- Các chức năng quản lý của PKI:
Đăng ký (Registration);
Khởi tạo (Initialization);
Chꢁng thực (Certification);
Phục hồi khóa (Key-pair recovery);
Cập nhật khóa (Key-pair update);
Yêu cầu thu hồi chꢁng thực khóa (Revocation request).
20
CHƯƠNG 3: KỸ THUẬT MÃ HÓA (TIẾP)
MỤC TIÊU CỦA BÀI
Sau khi học xong bài này người học có khả năng
Kiꢀn thꢁc:
- Trình bày được các đặc điểm của mã hóa công khai RSA.
- So sánh được các hệ khóa bí mật và khóa công khai.
Kĩ năng: Mô tả được hoạt động của các hệ thống lai.
Thái độ:
- Cẩn thận, tỉ mỉ, tuân thủ nội qui vệ sinh và an toàn phòng thực hành;
- Tích cực vận dụng kiến thức đã học vào thực tế.
NỘI DUNG:
3.7. Mã khóa công khai RSA
(RIVEST SHAMIR ADELMAN)
Đặc trưng của kỹ thuật mật mã bất đối xứng là dùng 2 khóa riêng biệt cho
hai quá trình mã hóa và giải mã, trong đó có một khóa được phổ biến công khai
(public key hay PU) và khóa còn lại được giữ bí mật (private key hay PR).
Thuật toán mật mã bất đối xứng dựa chủ yếu trên các hàm toán học hơn
là dựa vào các thao tác trên chuỗi bit. Mật mã hóa bất đối xứng còn được gọi
bằng một tên thông dụng hơn là mật mã hóa dùng khóa công khai (public key
encryption).
Thuật toán mật mã RSA
RSA là thuật toán mật mã bất đối xứng được xây dựng bởi Ron Rivest, Adi
Shamir và Len Adleman tại viện công nghệ Massachusetts (MIT), do đó được
đặt tên là Rivest – Shamir –Adleman hay RSA. Thuật toán này ra đời năm 1977
và cho đến nay đã được ứng dụng trong nhiều lĩnh vực.
RSA là một thuật toán mật mã khối, kích thước khối thông thường là
1024 hoặc 2048 bit. Thông tin gốc của RSA được xử lý như các số nguyên. Ví
dụ, khi chọn kích thước khối của thuật toán là 1024 bit thì số nguyên này có giá
trị từ 0 đến 21024 – 1, tương đương với số thập phân có 309 chữ số.
21
Tải về để xem bản đầy đủ
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình An toàn và bảo mật thông tin (Trình độ Cao đẳng)", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- giao_trinh_an_toan_va_bao_mat_thong_tin_trinh_do_cao_dang.pdf