Chuong 4- Ky Thuat Bao Mat-1

1

KỸ THUẬT BẢO MẬT SECURITY MECHANISMS Giáo viên: Ths. Trần Văn Thanh Email: [email protected]

2

NỘI DUNG Mã hóa và chữ ký số. Các giao thức, sản phẩm mã hóa Sự thẩm định quyền Danh sách giám sát truy cập (Access Control Lists (ACLs)  Kỹ thuật thực hiện các nguyên tắc và chính sách  Tính sẳn sàng của hệ thống.    

3

Mã hóa và chữ ký số Giới thiệu:  Mã hóa là sự dịch thông tin (được hiểu là văn

bản) thành các dạng mã sử dụng một khóa.  Mã hóa hầu hết được sử dụng để bảo vệ các thông tin cá nhân.  Trong một hệ thống mật mã mạnh, các thông tin gốc chỉ được thu lại bằng cách sử dụng một khóa giải mã.  Có 2 phương pháp mã hóa chính:  Mã hóa khóa đối xứng (Shared (or symmetric) Key Cryptography )  Mã hóa khóa công cộng (Public Key Cryptography)

4

Mã hóa và chữ ký số 1. Mã hóa với khóa đối xứng  Là sự mã hóa mã cả 2 bên trao đổi dữ liệu

cùng sử dụng chung một khóa.  Có 2 lọai khóa đối xứng:  Mật mã khối: Là mã hóa khối dữ liệu (hoặc khối bít)tại một thời điểm  Mật mã luồng: mã hóa mỗi bit/byte hoặc mỗi từ tại một thời điểm.

5

Mã hóa và chữ ký số 1. Mã hóa với khóa đối xứng Một số thuật tóan tiêu biểu  DES (Data Encryption Standard ): Là thuật toán mã

hóa theo khối dữ liệu, được phát triển bởi IBM và NIST. Ban đầu là mã hóa khối với khóa 54 bit.  Được chính phủ Mỹ công nhận năm 1997, và tiếp tục được tái công nhận trong mỗi 5 năm.  Với sự tiến bộ của máy tính, Việc bẻ khóa với DES là rất dễ giàng.  Chỉ thích hợp với những khóa có kích thước nhỏ  RC2:mã hóa theo khối – Do RSA đưa ra năm 1996. Có

thể có kích thước khóa từ 40 – 255 bit.

6

Mã hóa và chữ ký số 1. Mã hóa với khóa đối xứng Một số thuật tóan tiêu biểu  RC4,RC5: Là thuật toán mã hóa dòng có kích thước

khóa biến đổi của RSA.  Được chính phủ Mỹ công nhận năm 1994  Kích thước khóa từ 40 – 1024 bit  AES:Được thiết kế để thay thế DES vào năm 1998.  Kích thước khóa là 128, 192, 256 bit và sử dụng 128 khối bit.

7

Mã hóa và chữ ký số 1. Mã hóa với khóa đối xứng  Ưu điểm:  Nhanh hơn thuật tóan má hóa khóa công khai.

 Khuyết điểm:  Cả bên nhận và bên gửi đều sử dụng chung 1 khóa giống nhau.  Họ phải tìm phương thứ an tòan để trao đổi khóa (thông qua các kênh an tòan riêng lẽ).  Khó nhớ, dễ bi lộ khi co nhiều người cùng dùng chung  Các ứng dụng :  Mã hóa thông tin cá nhân: các file dữ liệu (không cần giao dịch).

 Mã hóa các phiên dữ liệu, hệ thống ngân hàng (Mã hóa PIN)

8

Mã hóa và chữ ký số 2. Mã hóa với khóa công khai  Cả 2 bên đều có một cặp khóa:Khóa công

khai và khóa bí mật.  Khóa công khai có thể mọi người cùng biết (giống như số điện thọai), cón khóa bí mật chỉ có chủ nhân khóa biết.

9

Mã hóa và chữ ký số 2. Mã hóa với khóa công khai Một số hệ thống mã hóa khóa công khai  Thuật tóan RSA được phát triển bởi MIT năm

1997 và được sử dụng đến hôm nay.  Chiều dài tối thiểu của khóa là 768 bit  Giao thức trao đổi khóa Diffie-Hellman :  Độ dài của khóa dựa trên thuật tóan rời rạc  DSS: là chuẩn chứ ký số được sử dụng thuật tóan DSA

10

Mã hóa và chữ ký số 2. Mã hóa với khóa công khai  Ưu điểm:  Không sử dụng kênh trao đổi khóa  Chỉ khóa riêng được yêu cầu giữ bảo mật  Khuyết điểm:  Tốc độ giải mã và mã hóa chậm.  Cần phải sử dụng các thuật tóan phức tạp và chính xác  Ứng dụng:  Đảm bảo sự chứng minh, tính không thừa nhận, tính bí mật và tính tòan vẹn dữ liệu

11

Mã hóa và chữ ký số 3. Hàm băm/ thông điệp tóm tắt  Hàm băm (Hashing):  Nhận đầu vào là một xâu ký tự dài (thông điệp) có độ dài tùy ý tạo ra kết quả là một xâu ký tự có độ dài cố định được gọi là thông điệp tóm tắt (message degest)  Một số hàm băm  MD2,MD4,MD5 được phát triển bởi RSA.  SHA-1:Là thuật tóan hàm băm bảo mật do NIST phát triển

12

Mã hóa và chữ ký số

13

Mã hóa và chữ ký số 3. Hàm băm/ thông điệp tóm tắt  Ưu điểm  Tốc độ mã hóa nhanh  Đưa ra một chuổi văn bản cố định  Các văn bản, tài liệu lớn có thể đưa ra các bản thông điệp giống nhau.  Nhược điểm  Chỉ đảm bảo được tính tòan vẹn dữ liệu.  Ứng dụng:  Ứng dụng chữ ký điện tử

 Tính tòan vẹn dữ liệu trong hệ thống mail

14

Mã hóa và chữ ký số 4. Áp dụng mã hóa b) Cường độ của mật hóa Bảo mật các khóa đối xứng và khóa bí mật Khó khăn trong việc phỏng đóan các khóa, chiều dài của khóa được xác định bằng chiều cường độ của mã hóa.  Việc thực hiện tồi  

 Phát sinh ra các số ngẫu nhiên giả trong kỹ thuật mã hóa có thể được nhận biết.  Khó có thể nhận biết được khóa giải mã.  Thuật tóan có thể thực hiện không đúng

15

Mã hóa và chữ ký số 4. Áp dụng mã hóa 

Cường độ của mật hóa 

 

Việc thiết kế tồi: 

Các thuật tóan dễ dàng bị phân tích và bẻ gảy



Sự tấn công các văn bản rõ: Bằng cách mã hóa một số các văn bản và phân tích các đầu ra, từ đó có thể nhận biết được cách làm việc của thuật tóan

Sự tiến bộ của tóan học: Cường độ của hệ thống khóa công khai cơ bản dựa trên độ khó của các thừa số tóan học và tóan rời rạc.

16

Mã hóa và chữ ký số 4. Áp dụng mã hóa 

Cường độ của mật hóa

 Thuật tóan của mã hóa khóa công khai, khóa đối xứng:  

Cường độ của khóa rất quan trọng cho khóa công khai, đặc biệt là khi sử dụng chử ký số và tính không thừa nhận. Sự nhận biết khóa công khai lâu hơn là khóa đối xứng do sự nhận biết khóa bí mật. 

Một khóa 256 bít có thể dễ dàng được phân tích đối với những người bình thường



384 bit có thể bị bẻ gãy bởi các trường đại học, công ty



2048 bít có thể bảo đảm trong vài thập kỹ mà không ai dễ dàng phá vỡ.

17

Mã hóa và chữ ký số 4. Áp dụng mã hóa 

Cường độ của mật hóa

 Gợi ý kích thước của khóa:Kích thước khóa mã hóa cón thể lựa chọn dựa trên:   

Thông tin cần bảo mật, ai là người cần bảo mật thông tin đó. Các phương thức tấn công để nắm được thông tin cần mã hóa. Thời gian cần bảo mật thông tin,

18

Mã hóa và chữ ký số

Attacker

Time Span

Recommended key size

Curious hacker

Information must be Public Key 512 bits protected for a few days. shared key 40 bits

Curious hacker

Information must be Public Key 1024 bits protected for minimum 2 shared key 60 bits years.

Large organisation

Information must be Public Key 1568 bits protected for minimum 20 shared key 90 bits years.

Government

Information must be Public Key 2048 bits protected for minimum 20 shared key 128 bits years.

19

Mã hóa và chữ ký số 4. Áp dụng mã hóa b) Vấn đề luật pháp/ Sự hạn chế xuất khẩu 

Tham khảo tại: cwis.kub.nl/~frw/people/koops/lawsurvy.htm .

Một số quốc gia xem việc mã hóa là một vũ khí nên kiểm sóat rất gắt gao trong việc xuất khẩu công nghệ.  Tại Mỹ chỉ cho phép xuất khẩu hệ thống khóa 40 bit đối với khóa đối xứng và 512 bit đối với hệ thống khóa công khai.  Một số ngạoi lệ: Xuất khẩu sang Canada, Australia và các tổ chức tài chính quốc tế. 

20

Mã hóa và chữ ký số 4. Áp dụng mã hóa b) Dịch vụ phong bì số :Digital Time – Stamping Service(DTS) Để đảm bảo an tòan cho các tài liệu số hóa. Bản thông điệp tóm tắt có thể gửi đến DTS. DTS sẽ gửi trở lại timestamp, công với thời gian timestamp được nhận kèm với chữ ký số, điều này chứng tỏ tài liệu được tồn tại  DTS phải sử dụng các khóa có kích thước lớn, từ đó mà yêu cầu các timestamp tồn tại trong vài năm.  

21

Mã hóa và chữ ký số

22

Mã hóa và chữ ký số

23

Mã hóa và chữ ký số 4. Áp dụng mã hóa b) Chứng thực điện tử, bên thứ 3 



Chứng chỉ số :Certificates 

Chứng chỉ số là các tài liệu số chứng nhận danh tính của một cá nhân, một máy chủ, hay một công ty.



Cho phép xác minh khóa công khai

Nhà cung cấp chứng chỉ số: (Certificate Authority – CA) 

Là tổ chức đứng ra chứng nhận những thông tin của bạn là chính xác.



Đảm bảo về độ tin cậy, chịu trách nhiệm về độ chính xác của chứng chỉ số mà mình cung cấp cho khách hàng.



CA còn có tên gọi khác là bên thứ 3 : (Trusted Third Party)

24

Mã hóa và chữ ký số 4. Áp dụng mã hóa b) Chứng thực điện tử, bên thứ 3 

Các thành phần của chứng chỉ số  Thông tin cá nhân của người được cấp.  Khóa công khai của người được cấp  Chữ ký số của nhà cung cấp chứng chỉ số



Ứng dụng của chứng chỉ số:  Mã hóa thông tin  Xác thực, đảm bảo tín không thừa nhận  Chữ ký điện tử  Bảo mật website : Sử dụng SSL Sercver  Chống sao chép phần mềm lậu

25

Mã hóa và chữ ký số

26

Mã hóa và chữ ký số 4. Áp dụng mã hóa b) Cơ sở hạ tầng khóa công khai 

Public Key Infrastructure (PKI):  Là hệ thống cho phép trao đổi các thông tin và họat động tài chính an tòan.  Cung cấp chứng chỉ số



Các thành phần căn bản của PKI  Một nhà cung cấp chứng chỉ số chuyên cung cấp, xác thực chứng chỉ số  Một nhà quản lý đăng ký đóng vai trò thẩm tra cho nhà cung cấp CCS.  Một hoặc nhiều danh mục lưu giữ các chứng chỉ số và khóa công khai  Một hệ thống quản lý chứng chỉ số

27

Mã hóa và chữ ký số

28

Mã hóa và chữ ký số 5. Giao dịch dữ liệu an tòan sử dụng mã hóa  Yêu cầu:  Sự thẩm định quyền là như nhau: Cả 2 bên (user và quy trình) phải tự nhận dạng và xác nhận lẫn nhau.  Tính tòan vẹn dữ liệu  Bảo mật dữ liệu: Chỉ những người được quyền mới truy xuất dữ liệu.  Xác nhận nguồn gốc dữ liệu: Làm sao để quy trình nhận dữ liệu đến từ đâu? Do ai gửi? Làm sao để chứng nhận nguồn gốc.  Đảm bảo tính không thừa nhận  Giám sát truy cập

29

Mã hóa và chữ ký số 5. Giao dịch dữ liệu an tòan sử dụng mã hóa  Sử dụng mã hóa để giao dịch:  Có thể kết hợp các thuật tóan đã giới thiệu: – Tính tòan vẹn dữ liệu : Sử dụng MD5 : Thuật tóan tóm lược thông điệp. – Tính không thừa nhận bản gốc: Sử dụng khóa công khai, chữ ký số. – Tính bảo mật: Sử dụng khóa công khai + Mã hóa khóa đối xứng – Đảm bảo quyền ngang hàng: Sửa dụng CA. – Giám sát truy cập : Tùy theo biện pháp thực hiện

30

Mã hóa và chữ ký số Chuẩn bị dữa liệu để giao dịch

31

Mã hóa và chữ ký số Sau khi nhận được giữ liệu - Giải mã giữ liệu

32

Mã hóa và chữ ký số 5. Giao dịch dữ liệu an tòan sử dụng mã hóa  Sử FTP để trao đổi file an tòan:  FTP sử dụng username và Pass dưới dạng văn bản rõ, do vậy không thể tin tưởng vào việc bảo vệ Pass là hàng rào bảo mật chính.  Các file được mã hóa trước khi giao dịch và giải mã chúng sau khi nhận.  Sử dụng MD5 để xác nhận tính tòan vẹn dữ liệu  Nguồn FPT có thể thay đổi để gỡ bở các lệnh không mông muốn, có thể sử dụng mặc định hoặc thay đổi giao thức.

33

Các giao thức mã hóa 1. Các sản phẩm mã hóa  SSL:  Giao thức đa mục đích, được thiết kế để tạo ra các giao tiếp giữa 2 chương trình ứng dụng nhằm mã hóa tòan bộ thông tin đến/đi.  Các ứng dụng: – Truyền số hiệu thẻ tín dụng, mật khẩu, số bí mật cá nhân. – Xác thực client và server, kiểm tra tính tòan vẹn dữ liệu – Nén và mã hóa dữ liệu

34

Các giao thức mã hóa 1. Các sản phẩm mã hóa  SSL:  Phương thức họat động:Dựa trên 2 nhóm con giao thức là giao thức bắt tay và giao thức bản ghi. – Giao thức bắt tay: xác định các tham số giao dịch giữa 2 đối tượng – Giao thức bản ghi: Xácđịnh khuôn dạng cho tiến hành mã hóa và truyền tin – Các ứng dụng khác trao đổi thông tin như số nhận dạng, khóa theo phiên. – Xác thực máy chủ, chứng thực điện tử…

35

Các giao thức mã hóa 1. Các sản phẩm mã hóa  E-Commerce: Các yêu cầu bảo mật của EC:  Đảm bảo an tòan thanh tóan cho việc mua bán trực tuyến: Sử dụng SET – Chi tiết thẻ tính dụng của khách hàng yêu cầu nên lưu giữ trên Merchant's server – Người mua cần thẩm tra lại Merchant’ và ngược lại – Cả 2 bên không thể không thừa nhận các giao dịch của mình. – Việc thanh tóan có thể nên tự động hóa

 Sử dụng SSL cho việc bảo mật các thông tin cá nhân và tính tòan vẹn dữ liệu cho quá trình đặt hàng trực tuyến

36

Sự xác thực 1. Các sản phẩm mã hóa  Xự xác thực : là quy trình thẩm tra lại các

chủ thể.

37

Mã hóa và chữ ký số 1. Mã hóa với khóa đối xứng  More people have bought Quicken than all

other personal finance software combined  Favored by 3 out of 4 users of PFM software

 Quicken is the #2 selling software of all time

(all types included)

 Behind only Intuit’s TurboTax

 16 million Quicken users  Quicken user demographics represent high income and high net worth individuals  More people bought Quicken last year than any year since Y2K (through fiscal YTD 4/04)

38

 Kiểm tra giữa kỳ  Môn : Bảo mật thông tin  Thời gian: 10 phút  Được sử dụng tài liệu

Hãy cho biết các rũi ro thường xuyên xuất hiện trong thương mại điện tử? Đề xuất phương pháp phòng chống các rũi ro đó.

39

 For more information about Information Security/ ECommerce, Please email us:[email protected]