Đề tài: Kiến trúc SSL/TLS

Mục Lục : Trang 1­ Giới thiệu sơ lược về SSL/TLS: 2 2­ Ứng dụng: 3 3­ Bảo mật: 3 4­ Cách viết mật mã (Cryptography) : 4 5­ Mã hóa khóa đối xứng( secret key): 4 6­ Mã hóa không đối xứng(Asymmetric key encryption): 5 7­ Bảng tóm tắt(Digests): 6 8­ Chứng chỉ( Certificates): 6 9­ Lỗ hổng bảo mật của SSL: 7 A­ Hướng tấn công số 1 : 8 B­ Hướng tấn công số 2 : 9 C­ Hướng tấn công số 3 : 11 1 1­Giới thiệu sơ lược về SSL/TLS: SSL (Secure Socket Layer) là giao thức được phát triển bởi Netscape.Version 1.0 không được công khai, version 2.0 được phát hành tháng 2 năm 1995 nhưng vẫn có nhiều lỗ hổng về bảo mật nên SSL version 3.0 được phát hành vào năm 1996. SSL: là một giao thức sử dụng rộng rãi cho truyền đạt thông tin trong mạng.Giao thức SSL dự phòng dịch vụ tiếp theo cho ứng dụng của mạng: Data privacy: Client/Server session thành các mật mã. Client authentication: Server có thể kiểm tra sự đồng nhất của Client. Server authentication: Client có thể kiểm tra sự đồng nhất của Server. Message integrity(tính nguyên vẹn của gói tin) : Data không thể sửa trong khi truyền. TLS 1.0 (Transport Layer Security) lần đầu tiên được định nghĩa trong RFC 2246 trong Tháng 1 năm 1999 như là một nâng cấp từ SSL v3.0. Như đã nêu trong RFC, sự khác biệt này giữa các giao thức SSL 3.0 là không đáng kể..Nó dùng nhiều các thuật toán “cryptographic”. TLS v1.1 đã được cập nhật từ v 1.0 trong RFC 4346 trong tháng 4 năm 2006. Phiên bản này có 1 số khác biệt: Được bảo vệ chống lại tấn công Cipher Block Chaining (CBC). Khởi tiềm ẩn Initialization Vector (IV) đã được thay thế bằng một IV rõ ràng. Thay đổi trong giải quyết các lỗi padding. Hỗ trợ cho IANA đăng ký của các thông số. TLS v1.2 được cập nhật trong RFC 5246 tháng 4 ,2008. Phiên bản này dựa trên những đặc điểm kỹ thuật của v1.1, sự khác biệt lớn bao gồm: Sự kết hợp MD5/SHA­1 trong PseudoRandom Function (PRF) đã được thay thế bằng những thuật toán mật mã­bộ­PRFs định. Sự kết hợp MD5/SHA­1 trong kỹ thuật số các nguyên tố đã ký được thay thế bằng một băm duy nhất, xác định trong một lĩnh vực mới. Nâng cao tại các khách hàng và khả năng của máy chủ để xác định những thuật toán băm và chữ ký của họ sẽ chấp nhận. Mở rộng hỗ trợ cho sự mật mã xác thực. 2 Mở rộng định nghĩa TLS và Advanced Encryption Standard (AES) CipherSuites được thêm vào. 2­Ứng dụng: Trong các ứng dụng thiết kế, TLS thường được thực hiện trên đầu trang của bất kỳ giao thức vận tải tầng nào, đóng gói ứng dụng giao thức cụ thể như HTTP, FTP, SMTP, NNTP, và XMPP. Một sử dụng nổi bật của TLS là để bảo vệ World Wide Web lưu lượng vận chuyển bằng HTTP để hình HTTPS. Đáng chú ý là các ứng dụng thương mại điện tử và quản lý tài sản. Ngày càng nhiều, các Simple Mail Transfer Protocol (SMTP) cũng được bảo vệ bởi TLS (RFC 3207). Các ứng dụng này sử dụng giấy chứng nhận công chính để xác minh nhận dạng của thiết bị đầu cuối. TLS có một số lợi thế vốn có trong tường lửa và NAT traversal mà làm cho nó dễ dàng hơn để quản trị cho quần thể truy cập lớn từ xa . TLS cũng là một phương pháp tiêu chuẩn để bảo vệ Session Initiation Protocol (SIP) ứng dụng tín hiệu. TLS có thể được sử dụng để cung cấp chứng thực và mã hoá của tín hiệu SIP kết hợp với VoIP và SIP khác dựa trên ứng dụng . 3­ Bảo mật: TLS / SSL có một loạt các biện pháp bảo mật: Các khách hàng có thể sử dụng quyền hạn của giấy chứng nhận (CA`s) khóa công khai để xác nhận chữ ký số của CA trên chứng chỉ máy chủ. Nếu các chữ ký số có thể được xác minh, khách hàng chấp nhận chứng chỉ máy chủ như là một chứng chỉ hợp lệ phát hành bởi một CA tin cậy. Các khách hàng xác minh rằng CA phát hành là vào danh sách các CAs tin cậy. Các khách hàng sẽ kiểm tra giấy chứng nhận thời gian hiệu lực của máy chủ. Quá trình thẩm định dừng lại nếu ngày hiện tại và thời gian vượt quá thời hạn hiệu lực. Đánh số tất cả các bản ghi ứng dụng với một trình tự và sử dụng dãy số này trong Message Authentication Codes (MACs). Một gói thư trao đổi thông tin kết thúc bắng việc bắt tay trả lời “Finished” giữa cả hai đối tượng trao đổi thông tin với nhau. 3 Một hàm ngẫu nhiên chia dữ liệu đầu vào ra một nửa và mỗi một bộ xử lý với độ khó hàm hashing(MD5 và SHA­1), thì XORs của chúng sẽ cùng nhau tạo MAC.Chúng sẽ có bảo vệ dự phòng nếu thuật toán ở đây có thể bị công kích được. SSL v3 được cải tiến trên SSLv2 nhờ được thêm vào cơ sở mã hóa của SHA­1,và nâng cấp them xác thực của chứng chỉ(CA).Cải tiến thêm trong SSLv3 bao gồm luồng giao thức bắt tay và tăng thêm việc chống đỡ lại việc tấn công “man­in­the­middle” 4­Cách viết mật mã (Cryptography) : Mật mã là thuật ngữ ám chỉ để chuyển một thông điệp mà chỉ có người nhận mới có thể độc tin nhắn. Mật mã học cũng được sử dụng để xác minh người gửi tin nhắn, và để xác minh một tin nhắn không được sửa đổi trong quá trình truyền. SSL sử dụng thuật toán mã hóa khác nhau để đảm bảo thông tin liên lạc an toàn. Có bốn khái niệm mã hóa được sử dụng bởi SSL: Mã hóa khóa đối xứng( khóa bí mật) Mã hóa khóa không đối xứng(khóa công cộng) Gói tin vắn tắt và chữ kí điện tử Chứng chỉ 5­Mã hóa khóa đối xứng( secret key) Khoá mật mã đối xứng sử dụng một chìa khóa duy nhất cho cả hai mã hóa và giải mã dữ liệu.Như thể hiện trong hình bên dưới các gói tin “plain text” đơn giản là thông qua các thuật toán mã hóa “ciphertext”, chúng không thể đọc, và do đó an toàn. Kết quả là thông tin an toàn đến người nhận.Những người nhận giải mã thông điệp trở lại “plaintext” bằng cách sử dụng cùng một khóa. 4 Thuật toán mã hóa đối xứng có hai loại: mã hóa khối và mã hóa luồng. Mã hóa khối theo truyền thống phổ biến nhất. Chúng hoạt động bằng cách chia dữ liệu thành các khối có kích thước cố định, và sau đó mã hóa từng khối riêng. Phần dữ liệu còn lại độ dài của “plaintext” là nhiều khối mật mã cùng kích thước.Ngược lại, thuật toán mã hóa luồng được mã hóa bằng bộ phát các số ngẫu nhiên. Họ sử dụng một hạt giống bắt đầu từ một chìa khóa để sản xuất một dòng các bit ngẫu nhiên được gọi là keystream này. Để mã hóa dữ liệu, một trong những có các chữ thô và đơn giản XORs nó với keystream này. Bảo mật của mã hóa khóa đối xứng phụ thuộc vào kích thước của khóa. Khóa càng lớn, càng có nhiều khó khăn cho kẻ đột nhập để phá vỡ mật mã. Tuy nhiên, khóa dài còn mất nhiều thời gian để cho người nhận giải mã, và có thể dẫn đến sự xuống cấp hiệu suất. 6­Mã hóa không đối xứng(Asymmetric key (public key) encryption) 5 ... - tailieumienphi.vn