Xem mẫu
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
C¸c vÊn ®Ò vÒ an ninh an toμn m¹ng
I. Mét sè kh¸i niÖm vÒ b¶o mËt
Tr−íc khi t×m hiÓu c¸c vÊn ®Ò liªn quan ®Õn ph−¬ng thøc ph¸ ho¹i vµ c¸c biÖn
ph¸p b¶o vÖ còng nh− thiÕt lËp c¸c chÝnh s¸ch vÒ b¶o mËt, phÇn sau ®©y sÏ tr×nh
bµy mét sè kh¸i niÖm liªn quan ®Õn b¶o mËt th«ng tin trªn m¹ng Internet.
1 §èi t−îng tÊn c«ng m¹ng (Intruder):
Lµ nh÷ng c¸ nh©n hoÆc c¸c tæ chøc sö dông c¸c kiÕn thøc vÒ m¹ng vµ c¸c c«ng
cô ph¸ ho¹i (phÇn mÒm hoÆc phÇn cøng) ®Ó dß t×m c¸c ®iÓm yÕu, lç hæng b¶o mËt
trªn hÖ thèng, thùc hiÖn c¸c ho¹t ®éng x©m nhËp vµ chiÕm ®o¹t tµi nguyªn m¹ng
tr¸i phÐp.
Mét sè ®èi t−îng tÊn c«ng m¹ng lµ:
- Hacker: Lµ nh÷ng kÎ x©m nhËp vµo m¹ng tr¸i phÐp b»ng c¸ch sö dông
c¸c c«ng cô ph¸ mËt khÈu hoÆc khai th¸c c¸c ®iÓm yÕu cña c¸c thµnh
phÇn truy nhËp trªn hÖ thèng
- Masquerader: Lµ nh÷ng kÎ gi¶ m¹o th«ng tin trªn m¹ng. Mét sè h×nh
thøc gi¶ m¹o nh− gi¶ m¹o ®Þa chØ IP, tªn miÒn, ®Þnh danh ng−êi dïng
...
- Eavesdropping: Lµ nh÷ng ®èi t−îng nghe trém th«ng tin trªn m¹ng, sö
dông c¸c c«ng cô sniffer; sau ®ã dïng c¸c c«ng cô ph©n tÝch vµ debug
®Ó lÊy ®−îc c¸c th«ng tin cã gi¸ trÞ
Nh÷ng ®èi t−îng tÊn c«ng m¹ng cã thÓ nh»m nhiÒu môc ®Ých kh¸c nhau: nh−
¨n c¾p nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, ph¸ ho¹i hÖ thèng m¹ng cã chñ ®Þnh,
hoÆc còng cã thÓ chØ lµ nh÷ng hµnh ®éng v« ý thøc, thö nghiÖm c¸c ch−¬ng tr×nh
kh«ng kiÓm tra cÈn thËn ...
2 C¸c lç hæng b¶o mËt:
C¸c lç hæng b¶o mËt lµ nh÷ng ®iÓm yÕu kÐm trªn hÖ thèng hoÆc Èn chøa trong
mét dÞch vô mµ dùa vµo ®ã kÎ tÊn c«ng cã thÓ x©m nhËp tr¸i phÐp ®Ó thùc hiÖn c¸c
hµnh ®éng ph¸ ho¹i hoÆc chiÕm ®o¹t tµi nguyªn bÊt hîp ph¸p.
Nguyªn nh©n g©y ra nh÷ng lç hæng b¶o mËt lµ kh¸c nhau: cã thÓ do lçi cña b¶n
th©n hÖ thèng, hoÆc phÇn mÒm cung cÊp, hoÆc do ng−êi qu¶n trÞ yÕu kÐm kh«ng
hiÓu s©u s¾c c¸c dÞch vô cung cÊp ...
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 1
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
Møc ®é ¶nh h−ëng cña c¸c lç hæng lµ kh¸c nhau. Cã nh÷ng lç hæng chØ ¶nh
h−ëng tíi chÊt l−îng dÞch vô cung cÊp, cã nh÷ng lç hæng ¶nh h−ëng nghiªm träng
tíi toµn bé hÖ thèng ...
II. Mét sè h×nh thøc tÊn c«ng m¹ng
Cã thÓ tÊn c«ng m¹ng theo mét trong c¸c h×nh thøc sau ®©y:
- Dùa vµo nh÷ng lç hæng b¶o mËt trªn m¹ng: Nh÷ng lç hæng nµy cã thÓ lµ c¸c
®iÓm yÕu cña dÞch vô mµ hÖ thèng ®ã cung cÊp; VÝ dô nh÷ng kÎ tÊn c«ng lîi dông
c¸c ®iÓm yÕu trong c¸c dÞch vô mail, ftp, web ... ®Ó x©m nhËp vµ ph¸ ho¹i
H×nh 1 - C¸c h×nh thøc tÊn c«ng m¹ng
- Sö dông c¸c c«ng cô ®Ó ph¸ ho¹i: VÝ dô sö dông c¸c ch−¬ng tr×nh ph¸ kho¸
mËt khÈu ®Ó truy nhËp vµo hÖ thèng bÊt hîp ph¸p; Lan truyÒn virus trªn hÖ thèng;
cµi ®Æt c¸c ®o¹n m· bÊt hîp ph¸p vµo mét sè ch−¬ng tr×nh.
Nh−ng kÎ tÊn c«ng m¹ng còng cã thÓ kÕt hîp c¶ 2 h×nh thøc trªn víi nhau ®Ó
®¹t ®−îc môc ®Ých.
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 2
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
- Møc 1 (Level 1): TÊn c«ng vµo mét sè dÞch vô m¹ng: nh− Web,
Email, dÉn ®Õn c¸c nguy c¬ lé c¸c th«ng tin vÒ cÊu h×nh m¹ng. C¸c
h×nh thøc tÊn c«ng ë møc nµy cã thÓ dïng DoS hoÆc spam mail.
- Møc 2 (Level 2): KÎ ph¸ ho¹i dïng tµi kho¶ng cña ng−êi dïng hîp
ph¸p ®Ó chiÕm ®o¹t tµi nguyªn hÖ thèng; (Dùa vµo c¸c ph−¬ng thøc
tÊn c«ng nh− bÎ kho¸, ®¸nh c¾p mËt khÈu ...); kÎ ph¸ ho¹i cã thÓ thay
®æi quyÒn truy nhËp hÖ thèng qua c¸c lç hæng b¶o mËt hoÆc ®äc c¸c
th«ng tin trong tËp tin liªn quan ®Õn truy nhËp hÖ thèng nh−
/etc/passwd
- Tõ Møc 3 ®Õn møc 5: KÎ ph¸ ho¹i kh«ng sö dông quyÒn cña ng−êi
dïng th«ng th−êng; mµ cã thªm mét sè quyÒn cao h¬n ®èi víi hÖ
thèng; nh− quyÒn kÝch ho¹t mét sè dÞch vô; xem xÐt c¸c th«ng tin
kh¸c trªn hÖ thèng
- Møc 6: KÎ tÊn c«ng chiÕm ®−îc quyÒn root trªn hÖ thèng.
III. C¸c møc b¶o vÖ an toµn m¹ng
V× kh«ng cã mét gi¶i ph¸p an toµn tuyÖt ®èi nªn ng−êi ta th−êng ph¶i sö dông
®ång thêi nhiÒu møc b¶o vÖ kh¸c nhau t¹o thµnh nhiÒu líp "rµo ch¾n" ®èi víi c¸c
ho¹t ®éng x©m ph¹m. ViÖc b¶o vÖ th«ng tin trªn m¹ng chñ yÕu lµ b¶o vÖ th«ng tin
cÊt gi÷ trong c¸c m¸y tÝnh, ®Æc biÖt lµ trong c¸c server cña m¹ng. H×nh sau m« t¶
c¸c líp rµo ch¾n th«ng dông hiÖn nay ®Ó b¶o vÖ th«ng tin t¹i c¸c tr¹m cña m¹ng
Physical protection
login/password
data encrytion
Access rights
firewalls
Information
H×nh 2 - C¸c møc ®é b¶o vÖ m¹ng
Nh− minh ho¹ trong h×nh trªn, c¸c líp b¶o vÖ th«ng tin trªn m¹ng gåm:
- Líp b¶o vÖ trong cïng lµ quyÒn truy nhËp nh»m kiÓm so¸t c¸c tµi
nguyªn (ë ®©y lµ th«ng tin) cña m¹ng vµ quyÒn h¹n (cã thÓ thùc hiÖn
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 3
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
nh÷ng thao t¸c g×) trªn tµi nguyªn ®ã. HiÖn nay viÖc kiÓm so¸t ë møc
nµy ®−îc ¸p dông s©u nhÊt ®èi víi tÖp
- Líp b¶o vÖ tiÕp theo lµ h¹n chÕ theo tµi kho¶n truy nhËp gåm ®¨ng ký
tªn/ vµ mËt khÈu t−¬ng øng. §©y lµ ph−¬ng ph¸p b¶o vÖ phæ biÕn nhÊt
v× nã ®¬n gi¶n, Ýt tèn kÐm vµ còng rÊt cã hiÖu qu¶. Mçi ng−êi sö dông
muèn truy nhËp ®−îc vµo m¹ng sö dông c¸c tµi nguyªn ®Òu ph¶i cã
®¨ng ký tªn vµ mËt khÈu. Ng−êi qu¶n trÞ hÖ thèng cã tr¸ch nhiÖm qu¶n
lý, kiÓm so¸t mäi ho¹t ®éng cña m¹ng vµ x¸c ®Þnh quyÒn truy nhËp
cña nh÷ng ng−êi sö dông kh¸c tuú theo thêi gian vµ kh«ng gian.
- Líp thø ba lµ sö dông c¸c ph−¬ng ph¸p m· ho¸ (encryption). D÷ liÖu
®−îc biÕn ®æi tõ d¹ng "®äc ®−îc" sang d¹ng kh«ng "®äc ®−îc" theo
mét thuËt to¸n nµo ®ã. Chóng ta sÏ xem xÐt c¸c ph−¬ng thøc vµ c¸c
thuËt to¸n m· ho¸ hiÖn ®−îc sö dông phæ biÕn ë phÇn d−íi ®©y.
- Líp thø t− lµ b¶o vÖ vËt lý (physical protection) nh»m ng¨n c¶n c¸c
truy nhËp vËt lý bÊt hîp ph¸p vµo hÖ thèng. Th−êng dïng c¸c biÖn
ph¸p truyÒn thèng nh− ng¨n cÊm ng−êi kh«ng cã nhiÖm vô vµo phßng
®Æt m¸y, dïng hÖ thèng kho¸ trªn m¸y tÝnh, cµi ®Æt c¸c hÖ thèng b¸o
®éng khi cã truy nhËp vµo hÖ thèng ...
- Líp thø n¨m: Cµi ®Æt c¸c hÖ thèng bøc t−êng löa (firewall), nh»m
ng¨n chÆn c¸c th©m nhËp tr¸i phÐp vµ cho phÐp läc c¸c gãi tin mµ ta
kh«ng muèn göi ®i hoÆc nhËn vµo v× mét lý do nµo ®ã.
IV. C¸c ph−¬ng thøc m· ho¸
Mét trong nh÷ng biÖn ph¸p b¶o mËt th−êng sö dông ®ã lµ ¸p dông c¸c c¬ chÕ
m· ho¸. Sau ®©y sÏ ph©n tÝch mét sè c¬ chÕ m· ho¸ ®¶m b¶o tÝnh an toµn vµ tin cËy
d÷ liÖu th−êng ®−îc sö dông trong c¸c dÞch vô trªn m¹ng Internet
1. §Æc ®iÓm chung cña c¸c ph−¬ng thøc m· hãa:
Trong c¸c ph−¬ng thøc m· hãa, mçi ph−¬ng thøc ®Òu chñ yÕu tËp trung gi¶i
quyÕt 6 vÊn ®Ò chÝnh nh− sau:
- Authentication - Ho¹t ®éng kiÓm tra tÝnh x¸c thùc mét thùc thÓ trong
giao tiÕp
- Authorization - Ho¹t ®éng kiÓm tra thùc thÓ ®ã cã ®−îc phÐp thùc hiÖn
nh÷ng quyÒn h¹n cô thÓ nµo.
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 4
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
- Confidential - TÝnh b¶o mËt; X¸c ®Þnh møc ®é b¶o mËt ®èi víi mçi
ph−¬ng thøc b¶o mËt.
- Integrity - TÝnh toµn vÑn: KiÓm tra tÝnh toµn vÑn d÷ liÖu khi sö dông
mçi ph−¬ng thøc b¶o mËt cô thÓ.
- Nonrepudiation - TÝnh kh«ng thÓ phñ nhËn. X¸c ®Þnh tÝnh x¸c thùc cña
chñ thÓ g©y ra hµnh ®éng
- Availability - Kh¶ n¨ng thùc hiÖn ph−¬ng thøc b¶o mËt ®ã trong m«i
tr−êng vµ ®iÒu kiÖn thùc tÕ.
a) Authentication:
Lµ ho¹t ®éng liªn quan ®Õn kiÓm tra tÝnh ®óng ®¾n mét thùc thÓ giao tiÕp trªn
m¹ng. Mét thùc thÓ cã thÓ lµ mét ng−êi, mét ch−¬ng tr×nh m¸y tÝnh, hoÆc mét thiÕt
bÞ phÇn cøng. C¸c ho¹t ®éng kiÓm tra tÝnh x¸c thùc ®−îc ®¸nh gi¸ lµ quan träng
nhÊt trong c¸c ho¹t ®éng cña mét ph−¬ng thøc b¶o mËt. Mét hÖ thèng th«ng th−êng
ph¶i thùc hiÖn kiÓm tra tÝnh x¸c thùc cña mét thùc thÓ tr−íc khi thùc thÓ ®ã thùc
hiÖn kÕt nèi víi hÖ thèng. C¬ chÕ kiÓm tra tÝnh x¸c thùc cña c¸c ph−¬ng thøc b¶o
mËt dùa vµo 3 m« h×nh chÝnh sau: Nh÷ng th«ng tin biÕt tr−íc, nh÷ng th«ng tin ®·
cã vµ nh÷ng th«ng tin x¸c ®Þnh tÝnh duy nhÊt.
- Víi c¬ chÕ kiÓm tra dùa vµo m« h×nh nh÷ng th«ng tin biÕt tr−íc, ®èi
t−îng cÇn kiÓm tra cÇn ph¶i cung cÊp nh÷ng th«ng tin mµ chóng biÕt,
vÝ dô nh− password, hoÆc m· sè th«ng sè c¸ nh©n PIN (Personal
information number).
- Víi c¬ chÕ kiÓm tra dùa vµo m« h×nh nh÷ng th«ng tin ®· cã, ®èi t−îng
kiÓm tra cÇn ph¶i thÓ hiÖn nh÷ng th«ng tin mµ chóng së h÷u, vÝ dô nh−
private key, hoÆc sè thÎ tÝn dông.
- Víi c¬ chÕ kiÓm tra dùa vµo m« h×nh nh÷ng th«ng tin x¸c ®Þnh tÝnh
duy nhÊt, ®èi t−îng kiÓm tra cÇn ph¶i cã nh÷ng th«ng tin ®Ó ®Þnh danh
tÝnh duy nhÊt cña m×nh vÝ dô nh− th«ng qua giäng nãi hoÆc
fingerprint.
b) Authorization:
Lµ ho¹t ®éng kiÓm tra tÝnh hîp lÖ cã ®−îc cÊp ph¸t thùc hiÖn mét hµnh ®éng cô
thÓ hay kh«ng. Do vËy ho¹t ®éng nµy liªn quan ®Õn c¸c dÞch vô cÊp ph¸t quyÒn
truy cËp, ®¶m b¶o cho phÐp hoÆc kh«ng cho phÐp truy nhËp ®èi víi nh÷ng tµi
nguyªn ®· ®−îc ph©n quyÒn cho c¸c thùc thÓ. Nh÷ng ho¹t ®éng ë ®©y cã thÓ lµ
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 5
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
quyÒn ®äc d÷ liÖu, viÕt, thi hµnh mét ch−¬ng tr×nh hoÆc sö dông mét thiÕt bÞ phÇn
cøng... C¬ chÕ thùc hiÖn viÖc ph©n quyÒn dùa vµo 2 m« h×nh chÝnh sau: m« h×nh
ACL (Access Control list) vµ m« h×nh dùa trªn c¬ chÕ thiÕt lËp c¸c chÝnh s¸ch
(Policy).
c) Confidential:
§¸nh gi¸ møc ®é b¶o mËt , hay tÝnh an toµn ®èi víi mçi ph−¬ng thøc b¶o mËt,
møc ®é cã thÓ phôc håi d÷ liÖu tõ nh÷ng ng−êi kh«ng cã quyÒn ®èi víi d÷ liÖu ®ã.
Cã thÓ b¶o mËt d÷ liÖu theo kiÕn tróc end-to-end hoÆc link-by-link. Víi m« h×nh
end-to-end, d÷ liÖu ®−îc b¶o mËt trong toµn bé qu¸ tr×nh xö lý, l−u truyÒn trªn
m¹ng; Víi m« h×nh link-by-link d÷ liÖu chØ ®−îc b¶o vÖ trªn c¸c ®−êng truyÒn vËt
lý
d) Integrity:
TÝnh toµn vÑn; ho¹t ®éng nµy ®¸nh gi¸ kh¶ n¨ng söa ®æi d÷ liÖu so víi d÷ liÖu
nguyªn thñy ban ®Çu; Mét ph−¬ng thøc b¶o mËt cã tÝnh toµn vÑn d÷ liÖu khi nã
®¶m b¶o c¸c d÷ liÖu m· hãa kh«ng thÓ bÞ thay ®æi néi dung so víi tµi liÖu gèc (khi
®· ®−îcg gi¶i m·) vµ trong tr−êng hîp nh÷ng kÎ tÊn c«ng trªn m¹ng söa ®æi néi
dung d÷ liÖu ®· m· hãa th× kh«ng thÓ kh«i phôc l¹i d¹ng ban ®Çu cña d÷ liÖu.
e) Nonreputation:
TÝnh kh«ng thÓ phñ nhËn; X¸c ®Þnh tÝnh x¸c thùc cña chñ thÓ g©y ra hµnh ®éng
cã thùc hiÖn b¶o mËt. (VÝ dô ch÷ ký ®iÖn tö sö dông trong hÖ thèng Mail cho phÐp
x¸c ®Þnh chÝnh x¸c ®èi t−îng "ký"- ng−êi göi message ®ã.)
f) Availability:
§¸nh gi¸ tÝnh thùc thi cña mét ph−¬ng thøc b¶o mËt. Ph−¬ng thøc b¶o mËt ®ã
ph¶i cã kh¶ n¨ng thùc hiÖn trong thùc tÕ ®èi víi c¸c hÖ thèng m¸y tÝnh, d÷ liÖu vµ
thùc hiÖn víi c¸c tµi nguyªn phÇn cøng, phÇn mÒm; ®ång thêi ph¶i ®¶m b¶o c¸c
yªu cÇu vÒ tèc ®é tÝnh to¸n, kh¶ n¨ng chuyÓn ®æi, tÝnh t−¬ng thÝch gi÷a c¸c hÖ
thèng kh¸c nhau.
2. C¸c ph−¬ng thøc m· hãa:
a) Ph−¬ng thøc m· hãa dïng kho¸ bÝ mËt (Secret Key Crytography)
S¬ ®å sau ®©y minh ho¹ qu¸ tr×nh lµm viÖc cña ph−¬ng thøc m· ho¸ sö dông
kho¸ bÝ mËt:
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 6
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
Private key
Plaintext Encrytion Ciphertex Decrytion Plaintext
H×nh 3 - Ph−¬ng thøc m· hãa ®èi xøng
§©y lµ ph−¬ng thøc m· ho¸ ®èi xøng: Message ë d¹ng Plaintext (d¹ng ®äc
®−îc) ®−îc m· ho¸ sö dông Private Key (kho¸ mµ chØ cã ng−êi m· ho¸ míi biÕt
®−îc) t¹o thµnh message ®−îc m· ho¸ (Ciphertext). ë phÝa nhËn, message m· ho¸
®−îc gi¶i m· cïng víi Private Key m· ho¸ ban ®Çu thµnh d¹ng Plaintext.
§iÓm chó ý cña ph−¬ng ph¸p m· ho¸ nµy lµ viÖc sö dông kho¸ bÝ mËt cho c¶
qu¸ tr×nh m· ho¸ vµ qu¸ tr×nh gi¶i m·. Do ®ã, nh−îc ®iÓm chÝnh cña ph−¬ng thøc
nµy lµ cÇn cã qu¸ tr×nh trao ®æi kho¸ bÝ mËt, dÉn ®Õn t×nh tr¹ng dÔ bÞ lé kho¸ bÝ
mËt
Cã hai lo¹i m· ho¸ ®èi xøng nh− sau: M· ho¸ theo tõng khèi vµ m· ho¸ theo
bits d÷ liÖu.
- C¸c thuËt to¸n m· ho¸ ®èi xøng theo tõng khèi d÷ liÖu (Block Cipher) thùc
hiÖn chia message ë d¹ng plaintext thµnh c¸c khèi vÝ dô 64 bits (hoÆc 2n bits), sau
®ã tiÕn hµnh m· ho¸ tõng khèi nµy. §èi víi khèi cuèi cïng nÕu kh«ng ®ñ 64 bits sÏ
®−îc bï thªm phÇn d÷ liÖu ®Öm (padding). Bªn nhËn sÏ thùc hiÖn gi¶i m· theo tõng
khèi.
- M· ho¸ theo tõng bits d÷ liÖu (Stream Ciphers)
B¶ng sau ®©y m« t¶ mét sè ph−¬ng ph¸p m· ho¸ ®èi xøng sö dông kho¸ bÝ mËt
Tªn thuËt to¸n ChÕ ®é m· ho¸ ChiÒu dµi kho¸
DES Theo khèi 56
IDEA Theo khèi 128
RC2 Theo khèi 2048
RC4 Theo bit 2048
RC5 Theo khèi 2048
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 7
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
§Ó kh¾c phôc ®iÓm h¹n chÕ cña ph−¬ng ph¸p m· ho¸ ®èi xøng lµ qu¸ tr×nh trao
®æi kho¸ bÝ mËt, ng−êi ta ®· sö dông ph−¬ng ph¸p m· ho¸ phi ®èi xøng sö dông
mét cÆp kho¸ t−¬ng øng víi nhau gäi lµ ph−¬ng thøc m· ho¸ phi ®èi xøng dïng
kho¸ c«ng khai (Public-Key Crytography).
b) Ph−¬ng thøc m· hãa dïng kho¸ c«ng khai (Public-Key Crytography)
Ph−¬ng thøc m· hãa dïng kho¸ c«ng khai ®−îc ph¸t minh bëi Whitfield Diffie
vµ Martin Hellman vµo n¨m 1975; Ph−¬ng thøc m· hãa nµy sö dông 2 khãa lµ
Public key vµ Private Key cã c¸c quan hÖ to¸n häc víi nhau. Trong ®ã Private Key
®−îc gi÷ bÝ mËt vµ kh«ng cã kh¶ n¨ng bÞ lé do kh«ng cÇn ph¶i trao ®æi trªn m¹ng;
Public key kh«ng ph¶i gi÷ bÝ mËt vµ mäi ng−êi ®Òu cã thÓ nhËn ®−îc kho¸ nµy. Do
ph−¬ng thøc m· hãa nµy sö dông 2 khãa kh¸c nhau, nªn ng−êi ta gäi nã lµ ph−¬ng
thøc m· hãa phi ®èi xøng. MÆc dï Private key ®−îc gi÷ bÝ mËt, nh−ng kh«ng gièng
víi "secret Key" ®−îc sö dông trong ph−¬ng thøc m· hãa ®èi xøng sö dông kho¸ bÝ
mËt do Private Key kh«ng ®−îc trao ®æi trªn m¹ng.
Public key vµ Private key t−¬ng øng cña nã cã quan hÖ to¸n häc víi nhau vµ
®−îc sinh ra sau khi thùc hiÖn c¸c hµm toµn häc; nh−ng c¸c hµm to¸n häc nµy lu«n
tho¶ m·n ®iÒu kiÖn lµ sao cho kh«ng thÓ t×m ®−îc private key tõ public key vµ
ng−îc l¹i. Do ®ã, mét cÆp kho¸ public key vµ private key t−¬ng øng ®−îc gäi lµ
key pair.
Do cã mèi quan hÖ to¸n häc víi nhau, mét message ®−îc m· hãa b»ng public
key chØ cã thÓ gi¶i m· ®−îc b»ng private key t−¬ng øng; mét message ®−îc m· hãa
b»ng private key chØ cã thÓ gi¶i m· ®−îc b»ng public key t−¬ng øng cña nã.
ThuËt to¸n Public key cã tÝnh thuËn nghÞch nÕu nã cã kh¶ n¨ng sö dông c¶ cho
b¶o mËt vµ ký ®iÖn tö. Nã lµ kh«ng cã tÝnh thuËn nghÞch nÕu chØ cã kh¶ n¨ng ký.
Víi c¸c thuËt to¸n bÊt thuËn nghÞch, private key chØ cã thÓ m· hãa plaintext (tøc lµ
qu¸ tr×nh ký) mµ kh«ng cã kh¶ n¨ng gi¶i m· ciphertext. Mét lo¹i kh¸c cña thuËt
to¸n m· hãa public-key lµ hoÆc kh«ng thÓ m· hãa hoÆc kh«ng thÓ ký; thuËt to¸n
nµy ®−îc gäi lµ thuËt to¸n key exchange (thuËt to¸n chuyÓn ®æi khãa).
ThuËt to¸n Public-key dùa trªn mèi quan hÖ to¸n häc gi÷a Public key vµ private
key. B¶ng sau ®©y liÖt kª c¸c thuËt tãan public-key th«ng dông nh− sau:
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 8
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
Tªn ThuËt to¸n Type NÒn t¶ng to¸n häc
DSA Digital signature ThuËt to¸n rêi r¹c
RSA Digital signature, Key T×m thõa sè
Exchange
- RSA, lµ tªn cña 3 nhµ to¸n häc ®· t×m ra ph−¬ng thøc m· hãa nµy, ®ã
lµ Rivest, Shamir vµ Adleman. RSA lµ thuËt to¸n public-key th«ng
dông nhÊt tõ tr−íc tíi nay. RSA cã thÓ sö dông c¶ cho m· hãa, ký, vµ
key exchange. ChiÒu dµi cña key cã thÓ thay ®æi, th«ng th−êng trong
ph¹m vi tõ 512 ®Õn 2048 bits. ViÖc lùa chän chiÒu dµi key ph¶i ®¶m
b¶o c©n b»ng gi÷a tèc ®é tÝnh to¸n vµ ®é phøc t¹p cña ph−¬ng thøc m·
hãa.
- DSA (Digital Signature Algorithm), ph−¬ng thøc m· hãa nµy ®−îc ra
®êi tõ chuÈn DSS (Digital Signature Standard), ®−îc giíi thiÖu vµo
n¨m 1994. DSA chØ cã thÓ ký vµo mét message; nã kh«ng thÓ dïng
cho m· hãa b¶o mËt vµ key exchange
C¬ chÕ lµm viÖc cña ph−¬ng ph¸p m· ho¸ sö dông kho¸ c«ng khai ®−îc m« t¶
b»ng h×nh sau:
Public Private key
k
Plaintext Encrytion Ciphertex Decrytion Plaintext
H×nh 4 - Ph−¬ng thøc m· hãa phi ®èi xøng
Gi¶ sö A muèn göi cho B mét message ®−îc m· hãa theo ph−¬ng thøc public-
key. A sö dông Public key cña B ®Ó m· hãa Plaintext t¹o thµnh ciphertext (A cã thÓ
nhËn ®−îc Public Key cña B do Public Key lµ kho¸ c«ng khai) . Sau ®ã ciphertext
nµy ®−îc chuyÓn tíi B. ë phÝa nhËn B sö dông private key cña m×nh ®Ó gi¶i m·
Ciphertext vµ ®äc ®−îc message ban ®Çu cña A.
Do ®ã, ®Ó thùc hiÖn ph−¬ng thøc m· hãa dïng kho¸ c«ng khai, cã mét sè vÊn
®Ò cÇn gi¶i quyÕt nh− sau:
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 9
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
- C©u hái 1: Lµm thÕ nµo ®Ó A cã thÓ kiÓm tra tÝnh x¸c thùc cña Public
Key cña B?
- C©u hái 2: Lµm thÕ nµo ®Ó B biÕt ®−îc chÝnh x¸c lµ message ®ã ®−îc
göi ®i tõ A.
Chóng ta xem xÐt c¸c t×nh huèng cã thÓ bÞ tÊn c«ng ®èi víi ph−¬ng thøc m· ho¸
phi ®èi xøng nh− sau:
- Tr−êng hîp cã kÎ nghe trém th«ng tin trao ®æi trªn m¹ng: C lµ mét
ng−êi nghe trém, C cã thÓ lÊy ®−îc ciphertext chuyÓn tõ A ®Õn B,
nh−ng kh«ng thÓ gi¶i m· ®−îc message nµy v× C kh«ng cã private key
cña B.
- Tr−êng hîp gi¶ m¹o kho¸ c«ng khai: VÊn ®Ò ®Æt ra lµ lµm thÕ nµo ®Ó
A cã thÓ biÕt chÝnh x¸c Public key mµ A sö dông ®óng lµ Public Key
cña B. Trong tr−êng hîp nµy, nÕu D gi¶ m¹o B göi Public key cña D
®Õn A (A nhËn ®−îc Public key lµ cña D mµ kh«ng ph¶i lµ cña B), vµ
A vÉn m· ho¸ message cña m×nh; khi ®ã message ®Õn D sÏ vÉn gi¶i
m· ®−îc do D cã private key cña m×nh. §Ó kh¾c phôc h¹n chÕ nµy
ng−êi ta x©y dùng mét hÖ thèng c¸c tæ chøc thø ba ®ãng vai trß trung
gian trong viÖc x¸c thùc tÝn ®óng ®¾n cña mét Public Key. §ã lµ c¸c tæ
chøc x©y dùng hÖ thèng chøng thùc ®iÖn tö (trong phÇn 3 sÏ tr×nh bµy
kü h¬n vÒ Ceriticate)
- Tr−êng hîp sö dông Private Key ®Ó m· ho¸: nÕu nh− A sö dông
private key cña m×nh ®Ó m· hãa mét message vµ göi message ®ã tíi
B? Khi ®ã, B cã thÓ sö dông Public key cña A ®Ó gi¶i m· message tõ
A. Mét ng−êi thø ba C còng cã Public key cña A (public key lµ mét
khãa c«ng khai) nªn nÕu nhËn ®−îc message göi tõ A còng cã thÓ gi¶i
m· ®−îc message vµ ®äc nã. Do ®ã, A kh«ng thÓ sö dông private key
cña m×nh ®Ó m· hãa mét message. Tuy nhiªn dùa vµo ®Æc ®iÓm ¸nh x¹
1:1 gi÷a Private Key vµ Public Key ta cã thÓ thÊy r»ng message ®−îc
m· ho¸ lµ ®−îc göi tõ A mµ kh«ng ph¶i lµ mét ng−êi kh¸c. §iÒu nµy
còng tr¶ lêi cho c©u hái 2.
Mét h¹n chÕ cña ph−¬ng thøc m· hãa dïng kho¸ c«ng khai lµ lµm gi¶m tèc ®é
thùc hiÖn thao t¸c xuèng tõ 100 ®Õn 1000 lÇn so víi ph−¬ng thøc m· hãa ®èi xøng.
Do ®ã, ph−¬ng thøc m· hãa nµy Ýt ®−îc sö dông ®Ó m· hãa víi d÷ liÖu kÝch th−íc
lín. Ph−¬ng thøc nµy th−êng ®−îc sö dông cho giai ®o¹n khëi ®Çu cña kÕt nèi gi÷a
hai thùc thÓ cÇn giao tiÕp víi nhau vµ sau ®ã mét kho¸ bÝ mËt (secret key) ®−îc t¹o
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 10
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
®Ó thùc hiÖn qóa tr×nh trao ®æi d÷ liÖu (kho¸ bÝ mËt nµy chØ tån t¹i trong mét
session lµm viÖc duy nhÊt). ViÖc sö dông kü thuËt m· ho¸ dïng dïng kho¸ c«ng
khai cho qu¸ tr×nh b¾t tay gi÷a hai thùc thÓ cÇn trao ®æi th«ng tin cã yªu cÇu b¶o
mËt kÕt hîp víi thuËt to¸n dïng kho¸ bÝ mËt cho qu¸ tr×nh trao ®æi d÷ liÖu t¹o
thµnh mét ph−¬ng thøc m· hãa lai. §Ó thùc hiÖn ®−îc ph−¬ng thøc m· ho¸ lai,
Netscape ®· ®−a ra giao thøc SSL thùc hiÖn c¸c qu¸ tr×nh trªn. PhÇn 3 tr×nh bµy vÒ
t¹o kÕt nèi b¶o mËt sÏ tr×nh bµy kü h¬n vÒ vÊn ®Ò nµy.
Qua c¸c ph©n tÝch trªn, chóng ta thÊy r»ng cã hai kh¶ n¨ng cÇn ph¶i kh¾c phôc
khi sö dông ph−¬ng thøc m· hãa dùa trªn nÒn t¶ng Public key ®ã lµ:
- NÕu sö dông Public key ®Ó m· hãa mét message th× ®¶m b¶o message
®ã lµ hoµn toµn b¶o mËt; nh−ng cÇn ph¶i kiÓm tra tÝnh x¸c thùc cña
public key (1)
- NÕu sö dông Private key ®Ó m· hãa mét message th× cã thÓ gi¶i m·
®−îc bëi nhiÒu ng−êi cã ®−îc public key; nh−ng l¹i cã thÓ sö dông
ph−¬ng thøc nµy ®Ó kiÓm tra tÝnh x¸c thùc cña mét ng−êi ký vµo
message ®ã. (2)
VÊn ®Ò ®Æt ra lµ cã thÓ tËn dông ®−îc hai ®Æc ®iÓm nµy ®Ó ®¶m b¶o phiªn giao
dÞch lµ hoµn toµn b¶o mËt vµ tin cËy. Cô thÓ nh− sau:
- Ng−êi ta sÏ sö dông private key ®Ó ký vµo mét message; mµ néi dung
cña message nµy lµ public key cña ng−êi ®ã. Qu¸ tr×nh nµy ®¶m b¶o
®−îc r»ng public key ®óng lµ cña ng−êi; ®iÒu nµy kh¾c phôc ®−îc
nh−îc ®iÓm (1) ®· nªu ë trªn.
- Sau ®ã mét message ®−îc m· hãa b»ng public key võa göi ®Õn ®¶m
b¶o r»ng chØ cã ng−êi cã private key cña nã míi cã kh¶ n¨ng gi¶i m·
®−îc. §iÒu nµy kh¾c phôc ®−îc nh−îc ®iÓm (2) ®· nªu ë trªn.
c) Ph−¬ng thøc m· ho¸ mét chiÒu - thuËt to¸n B¨m
§Ó ®¶m b¶o tÝnh toµn vÑn cña d÷ liÖu kh«ng bÞ thay ®æi so víi d÷ liÖu ban ®Çu,
ng−êi ta ®−a ra c¸c ph−¬ng thøc m· ho¸ mét chiÒu sö dông c¸c thuËt to¸n B¨m .
Ho¹t ®éng cña ph−¬ng thøc m· ho¸ nµy ®−îc minh ho¹ trong h×nh sau:
one-way Message
Plain text digest (hash)
function
H×nh 5 - M· hãa mét chiÒu
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 11
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
H×nh trªn m« t¶ ho¹t ®éng cña ph−¬ng thøc m· hãa 1 chiÒu (Message - Digest);
Theo ®ã, ®Çu ra cña ph−¬ng thøc nµy lµ mét Message Digest cã chiÒu dµi cè ®Þnh
(message nµy gäi lµ message digest, hoÆc digest hoÆc hash). Víi mçi ®Çu vµo
Plaintext sÏ chØ cã duy nhÊt mét kÕt qu¶ ®Çu ra t−¬ng øng vµ tõ Message Digest
kh«ng thÓ t×m ra Message d¹ng Plaintext ban ®Çu. Message (d¹ng Plain text) sau
khi thùc hiÖn hµm hashing sÏ t¹o ra mét chuçi c¸c ký tù - ®Æc tr−ng cho message
®Çu vµo. Gi¶i thuËt message digest lµ mét thuËn to¸n mét chiÒu hay th−êng gäi lµ
thuËt to¸n hash. Ph−¬ng thøc m· hãa nµy kh«ng sö dông ®Ó m· hãa d÷ liÖu mµ
th−êng sö dông ®Ó kiÓm tra tÝnh to¸n vÑn cña d÷ liÖu trong qu¸ tr×nh truyÒn th«ng
tin trªn m¹ng.
C¸c thuËt to¸n hashing cã 3 ®Æc ®iÓm chÝnh nh− sau:
- Kh«ng cã kh¶ n¨ng t¹o ra message ban ®Çu dùa trªn digest cña nã (nãi
c¸ch kh¸c lµ thuËt to¸n hashing ph¶i ®¶m b¶o cã tÝnh mét chiÒu,
kh«ng thÓ thùc hiÖn theo chiÒu ng−îc l¹i)
- Kh«ng thÓ t×m ra mét message gèc tõ mét digest ®Æc biÖt
- Kh«ng thÓ t×m 2 message kh¸c nhau cã cïng mét digest gièng nhau
NÕu chiÒu dµi cña digest lµ m bits, nã sÏ cÇn ph¶i thö 2m message ®Ó t×m ra mét
message víi digest mong muèn t−¬ng øng vµ thùc hiÖn 2m/2 meesage ®Ó t×m 2
message cã cïng mét digest. Do ®ã c¸c hµm thùc hiÖn message-digest ph¶i cã ®Çu
ra Ýt nhÊt lµ 128 bits , v× tèi thiÓu lµ 264 lµ kh«ng thÓ tÝnh to¸n ®−îc víi c¸c kh¶
n¨ng tÝnh to¸n hiÖn nay. B¶ng sau ®©y m« t¶ mét sè thuËt to¸n hashing th−êng sö
dông:
ThuËt to¸n ChiÒu dµi cña digest (bits)
MD2 128
MD4 128
MD5 128
SHA-1 160
SHA 160
d) Message Authentication Codes - MAC
MAC lµ mét d÷ liÖu cã chiÒu dµi cè ®Þnh, ®−îc göi cïng víi mét message ®Ó kiÓm
tra tÝnh toµn vÑn d÷ liÖu cña message ®ã. C¸c ph−¬ng thøc m· hãa dïng khãa bÝ
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 12
- Bµi gi¶ng Kü thuËt an toµn m¹ng http://www.ebook.edu.vn
mËt vµ khãa c«ng khai cã thÓ ®−îc sö dông nh− lµ nÒn t¶ng cña viÖc t¹o c¸c MACs.
Mét c¸ch th«ng dông ®Ó t¹o MAC lµ dïng nhê mét block cipher text (mét ®o¹n
text ®· ®−îc m· hãa ) ®−îc t¹o tõ ph−¬ng thøc m· hãa ®èi xøng sö dông khãa bÝ
mËt. C¸c giao dÞch tµi chÝnh trªn m¹ng ®· sö dông ph−¬ng thøc nµy mét thêi gian
dµi ®Ó b¶o vÖ c¸c giao dÞch ®iÖn tö gi÷a c¸c nhµ bank trªn m¹ng. Mét hµm m· hãa
hashing ®−îc sö dông kÕt hîp gi÷a mét message vµ mét khãa bÝ mËt ®Ó t¹o ra
MAC. ë phÝa ng−êi nhËn message, (chó ý ng−êi nµy dïng chung khãa bÝ mËt víi
phÝa ng−êi göi), tÝnh to¸n hash theo d÷ liÖu göi ®Õn cïng víi khãa bÝ mËt cña hä
®Ó t¹o thµnh mét MAC kh¸c. NÕu 2 MAC nµy trïng víi nhau, ng−êi nhËn sÏ kÕt
luËn r»ng message ®ã lµ ®−îc göi tõ mét ng−êi mµ ng−êi ®ã ®· biÕt khãa bÝ mËt vµ
message ®ã hoµn toµn kh«ng bÞ söa ch÷a trong khi truyÒn d÷ liÖu. Qu¸ tr×nh nµy
®−îc gäi lµ hµm keys hash, vµ t−¬ng øng víi nã MAC ®−îc gäi lµ HMAC
GV. NguyÔn Anh TuÊn – Trung t©m TH-NN TrÝ §øc 13
nguon tai.lieu . vn