Đang tải... (xem toàn văn)
Bài giảng An ninh mạng: Bài 2 Các kỹ thuật mã hóa và xác thực, cung cấp cho người học những kiến thức như: Mã hóa khóa đối xứng; Mã hóa khóa bất đối xứng; Chứng thư số (Certificate Authority); Chữ ký số (Digital Sign); Hàm băm (hash); Trao đổi khóa. Mời các bạn cùng tham khảo!
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng mơn học: AN NINH MẠNG Số tín chỉ: Tổng số tiết: 60 tiết (30 LT + 30 TH) Giảng viên: ThS Phạm Đình Tài Tel: 0985733939 Email: pdtai@ntt.edu.vn Môn học: AN NINH MẠNG Bài Các kỹ thuật công mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài Bảo mật truy cập từ xa -2- Bài 2: Các kỹ thuật mã hóa xác thực Mã hóa khóa đối xứng Mã hóa khóa bất đối xứng Chứng thư số (Certificate Authority) Chữ ký số (Digital Sign) Hàm băm (hash) Trao đổi khóa Mục tiêu an tồn thơng tin • Tiêu chuẩn an tồn thơng tin: • An tồn thơng tin biện pháp nhằm bảo mật thông tin Accountability Reliability Authenticity Non-repudiation Confidentialit y Integrity Availability Information Security People Procedur es Policy Legal Framework Technolo gy ISO/IEC-27001:2005 Mục tiêu an tồn thơng tin • Lớp tảng an tồn thơng tin: • Tính bí mật (Confidentiality) • Chỉ người phân quyền truy cập liệu • Mã hóa liệu trước truyền từ nơi sang nơi khác • Tính tồn vẹn (Integrity) • Người nhận xác minh tồn vẹn liệu • Đảm bảo liệu khơng bị thay đổi đường truyền • Tính sẵn sàng (Avaibility) • Đảm bảo liệu ln tình trạng sẵn sàng người dùng có nhu cầu truy cập $10 $10.0 00 $10.0 00 5 Mục tiêu an tồn thơng tin • Lớp xác thực thơng tin: • Authenticity: xác minh nguồn gốc thơng tin • Non-repudiation (tính chống từ chối): • Đảm bảo người tạo thông tin phủ nhận thông tin tạo • Lớp Accountability Reliability Authenticity Non-repudiation Confidentialit y Integrity Availability Information Security People Procedur es Policy Technolo gy Legal Framework Mã hóa khóa đối xứng • Khái niệm mã hóa: • Mật mã (encryption) dùng thuật tốn (algorithms) để làm biến đổi thơng tin gốc • Giải mã (decryption) dùng thuật tốn để chuyển thông tin bị biến đối thành thông tin gốc • Hệ thống mã hóa (cryptosystem): bao gồm thuật tốn mã hóa giải mã • Khóa mã (Key) chìa khóa (từ khóa, mã khóa…) điều khiển hoạt động việc mã hóa giải mã thuật tốn Mã hóa khóa đối xứng • Mã hóa khóa đối xứng • Thơng tin gốc X mã hóa khóa K để liệu Y • Dữ liệu Y truyền mạng tới nơi nhận • Nơi nhận dùng khóa K để giải mã liệu Y thông tin gốc X Mã hóa khóa đối xứng • Ví dụ mã hóa khóa đối xứng thuật tốn XOR: Bên gởi X = 1000 1011 K = 0101 0101 Y = 1101 1110 Bảng chân trị XOR A B A xor B 0 0 1 1 1 Bên nhận dùng khóa Đúng Y = 1101 1110 K = 0101 0101 X = 1000 1011 Bên nhận dùng khóa Sai Y = 1101 1110 K = 0001 0001 X = 1100 1111 (2 bit giống trả bit khác trả ) Mã hóa khóa đối xứng • Một số thuật tốn mã hóa khóa đối xứng thơng dụng • DES (Data Encryption Standard): • Thơng điệp (message) chia thành khối (block) 64 bits • Dùng khóa 56 bít để mã hóa ( bit để kiểm tra chẳn, lẻ) • Có thể bị cơng giải thuật vét cạn khóa (Brute-force) • Triple DES: thực thuật tốn DES lần • Mã hóa thơng điệp m: EK1 { DK2 [ EK1 (m) ] } => c • Mã hóa thơng tin mã hóa c: DK1 { EK2 [ DK1 (c) ] } => m • AES (Advanced Encryption Standard): thay cho DES • Thơng điệp chia khối tương tự DES • Dùng khóa: 128, 192 256 bits 10 Mã hóa khóa bất đối xứng • Mã hóa bất đối xứng – thuật tốn RSA • Mỗi máy tính sử dụng khóa bao gồm khóa: • Kr: Khóa riêng (private) – giữ máy, khơng public ngồi • Kp: Khóa chung (public) – khơng giữ máy, public ngồi • Ngun tắc mã hóa giải mã: • Dữ liệu mã hóa khóa riêng Kr giải mã khóa chung Kp • Dữ liệu mã hóa khóa chung Kp giải mã khóa riêng Kr 11 Mã hóa thơng tin (Cryptography) • Các phương pháp dùng thuật tốn RSA: • Giả định: Alice muốn truyền thơng tin cho Bob • Giải pháp 1: • Bob cơng khai khóa KpB ngồi • Alice mã hóa khóa KpB Bob • Bob giải mã khóa KrB Bob • Giải pháp 2: • Alice cơng khai khóa KpA ngồi • Alice mã hóa khóa KrA Alice • Bob giải mã khóa KpA Alice 12 Hàm băm (hash function) • Cơng dụng hàm băm • Băm thơng điệp kích thước cố định • Phát thay đổi thơng điệp • Có thể sử dụng để tạo chữ ký thơng điệp • Tính chất hàm băm: • Nếu có thơng điệp (M) dễ dàng tính mã băm (h) theo thuật tốn băm (H) (ví du: MD5, SHA1,…) • Nếu có mã băm (h), khơng thể tính ngược thông điệp (M) cho dù biết thuật tốn băm • Kích thước h nhỏ cố định • h phụ thuộc vào M 13 Hàm băm (hash function) • Hàm băm đơn giản: • Dùng thuật tốn XOR để băm thơng điệp • Thơng điệp (M): 1010 1100 0111 1000 1010 1100 • Băm bit – chia thông diệp thành đoạn bit 1010 1100 0111 1000 1010 1100 Mã băm (h): 0111 1000 • Nếu có thay đổi thơng điệp 1010 1101 0111 1000 1010 1100 Mã băm mới: 0111 1001 khác với mã băm cũ 14 Hàm băm (hash function) • Minh họa ứng dụng Hash: • Mật “abc” theo dạng ASCII: 0100 0001 0100 0010 0100 0011 • Băm bit theo thuật toán XOR ta mã băm: 0100 0000 • Hệ thống lưu trữ mật “abc” dạng mã băm: 0100 0000 • Trường hợp Attacker lấy bảng mật => giải mã băm 0100 0000 thành mật “abc” 15 Trao đổi khóa (Key exchange) • Thuật tốn Diffie-Hellman: • Mục đích: đảm bảo tính bí mật đối tác thảo thuận thay đổi khóa đối xứng • Cơ chế hoạt động: • Alice Bob dùng khóa chung (màu vàng), muốn thay đổi khóa chung khác • Mỗi bên tự tạo khóa mới, trộn với Khóa chung dùng • Gởi khóa trộn cho đối tác • Trộn khóa nhận với khóa tự tạo => có Khóa chung giống cho - 16 - Chứng thư số (Certification Authority) • Vai trò Chứng thư số (Certification Authority – CA) • Mã hóa thơng tin truyền • Chứng thực nguồn cung cấp dịch vụ (Server) “Nhà cung cấp chứng thư” tin cậy • Đảm bảo tính tồn vẹn liệu q trình mã hóa giải mã thông tin CA Server Client Server 17 Chứng thư số (Certification Authority) • Hoạt động CA Client gởi yêu cầu truy cập dịch vụ đến Server Server gởi Cert cho Client, bao gồm khóa public KpuS Client gởi Cert tới CA Server nhờ chứng thực nguồn gốc Nếu CA Server xác nhận đúng, client tiến hành giao dịch với Server liệu mã hóa khóa KpuS (Server giải mã khóa KprS nó) CA Server Client Server 18 Chữ ký số (Digital Signature) • Vai trị Chữ ký số (Digital Signature) • Mã hóa thơng tin truyền • Chứng thực người truy cập dịch vụ (Client) “Nhà cung cấp chữ ký số” tin cậy • Đảm bảo tính tồn vẹn liệu q trình mã hóa giải mã thông tin 19 Chữ ký số (Digital Signature) • Hoạt động DS Client kết nối Server để thực giao dịch dùng DS Client gởi Sign cho Server, bao gồm khóa public KpuC Server gởi Sign tới CA Server nhờ chứng thực nguồn gốc Nếu CA Server xác nhận đúng, Server tiến hành giao dịch với Client liệu mã hóa khóa KpuC CA Server Server Client 20 Chứng thư số (Certification Authority) • Giả mạo chứng thư số Trong trường hợp Client bị công Man in the middle Yêu cầu truy cập Client gởi tới Hacker Hacker giao dịch với Server client bình thường Hacker giả mạo Server gởi cho Client Cert giả Client đem Cert chứng thực, nhận cảnh báo “không tin cậy” từ CA Server CA Server Server Client Hacker 21 Chữ ký số (Digital Signature) • Giả mạo Chữ ký số Trường hợp Client bị công Man in the middle người dùng Client chấp nhận dùng Certification không tin cậy từ Hacker Hacker dùng Sign giả gởi tới Server Server đem Sign chứng thực, nhận cảnh báo “khơng tin cậy” từ CA Server Server hủy phiên giao dịch CA Server Server Client Hacker 22 Thảo Luận Cấu trúc MT – ThS Vương Xuân Chí Trang ... học: AN NINH MẠNG Bài Các kỹ thuật cơng mạng Bài Các kỹ thuật mã hóa xác thực Bài Triển khai hệ thống Firewall Bài Chứng thực Firewall Bài Thiết lập sách truy cập Bài Bảo vệ Server công cộng Bài. .. xa -2 - Bài 2: Các kỹ thuật mã hóa xác thực Mã hóa khóa đối xứng Mã hóa khóa bất đối xứng Chứng thư số (Certificate Authority) Chữ ký số (Digital Sign) Hàm băm (hash) Trao đổi khóa Mục tiêu an. .. gy ISO/IEC -2 7 001 :20 05 Mục tiêu an toàn thơng tin • Lớp tảng an tồn thơng tin: • Tính bí mật (Confidentiality) • Chỉ người phân quyền truy cập liệu • Mã hóa liệu trước truyền từ nơi sang nơi khác