ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN  Báo cáo đồ án Môn: ƯDTT & ANTT Đề tài: SECURE EMAIL Sinh viên thực hiện: MSSV: Ngô Duy Thống 07520338 Nguyễn Hồng Hải 07520110 Vũ Văn Hiệu 07520125 Nguyễn Quang Gia Khang 07520170 Lê Phan Định 07520086 Giảng viên hướng dẫn: Ths. Tô Nguyễn Nhật Quang Thành phố Hồ Chí Minh, tháng 5 năm 2014 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Mục Lục Mục Lục 2 Lời nói đầu Theo các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài như McAfee, Kaspersky hay CheckPoint…, năm 2010 Việt Nam tiếp tục được nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế, trong giới truyền thông và các hãng bảo mật. Nguy cơ mất an toàn thông tin ở Việt Nam đang ngày càng tăng lên khi đã rơi vào top 10 quốc gia có nguy cơ mất an toàn thông tin cao nhất trong năm 2010. Cùng với đó là mối nguy từ những nhân viên “bất mãn” có thể sẵn sàng bán đứng doanh nghiệp, tổ chức bằng việc tuồn nguồn thông tin ra ngoài dang càng trở nên đáng lo ngại. Email là một phương tiện thông tin liên lạc tiện lợi và ngày càng được sử dụng rộng rãi hiện nay. Vì vậy nó cũng là phương tiện và mục tiêu để những kẻ tấn công nhắm tới. Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm vụ quan trọng mà các nhà cung cấp và người quản trị cần quan tâm. Để hiểu rõ hơn về những mối đe dọa và những biện pháp bảo mật email, đồng thời thực hiện việc nghiên cứu vấn đề do thầy phụ trách bộ môn hướng dẫn, nhóm chúng em đã tiến hành nghiên cứu và thực hiện bài báo cáo về vấn đề bảo mật email. Do thời gian thực hiện có hạn nên chúng em không tránh khỏi những thiếu sót, mong thầy bỏ qua. Nhóm sinh viên thực hiện. Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 2 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Phần I: Giới thiệu về email. Email - Electronic mail (e-mail, email, E-Mail ) hay còn gọi là thư điện tử là cách gọi phổ thông của cách thức giao tiếp, liên lạc của hệ thống xây dựng dựa trên những chiếc máy tính. Tại 1 thời điểm cách đây khá lâu, thuật ngữ máy tính được dùng để ám chỉ những cỗ máy làm việc với kích thước khổng lồ, người dùng phải áp dụng phương pháp dial-up để truy cập, và mỗi chiếc máy tính đều được trang bị bộ nhớ và thiết bị lưu trữ dành cho nhiều tài khoản. Sau đó không lâu, những nhà phát minh đã tìm cách để các bộ máy này “giao tiếp” với nhau. Ứng dụng đầu tiên ra đời, nhưng họ chỉ gửi được tin nhắn đến các người sử dụng khác trong cùng 1 hệ thống cho tới tận năm 1971. Và thời gian qua đi, công nghệ đã được phát triển lên 1 tầm cao mới khi Ray Tomlinson trở thành người đầu tiên trên toàn thế giới gửi được bức thư điện tử tới người khác sử dụng ký hiệu @. Và đó là nền tảng đầu tiên của khái niệm Email – chúng ta đang đề cập tới. Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 3 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Hình 1: Thời kỳ đầu của máy tính và email. 1. Cấu trúc của địa chỉ email Một địa chỉ email sẽ bao gồm ba phần chính có dạng: Tên_định_dạng_thêm tên_email@tên_miền • Phần tên_định_dạng_thêm: Đây là một dạng tên để cho người đọc có thể dễ dàng nhận ra người gửi hay nơi gửi. Tuy nhiên, trong các thư điện tử người ta có thể không cần cho tên định dạng và lá thư điện tử vẫn được gửi đi đúng nơi. Thí dụ: Trong địa chỉ gửi thư tới viết dưới dạng Nguyễn Thị A nguyenthia111@yahoo.com hay viết dưới dạng nguyenthia111@yahoo.com thì phần mềm thư điện tử vẫn hoạt động chính xác và gửi đi đến đúng địa chỉ. Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 4 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email • Phần tên_email: Đây là phần xác định hộp thư. Thông thường, cho dễ nhớ, phần này hay mang tên của người chủ ghép với một vài kí tự đặc biệt. Phần tên này thường do người đăng kí hộp thư điện tử đặt ra. Phần này còn được gọi là phần tên địa phương. • Phần tên_miền: Đây là tên miền của nơi cung cấp dịch vụ thư điện tử. Ngay sau phần tên_email bắt đầu bằng chữ "@" nối liền sau đó là tên miền. 2. Những chức năng cơ bản của email Ngoài chức năng thông thường để gởi, nhận và soạn thảo email, các phần mềm thư điện tử có thể còn cung cấp thêm những chức năng khác như là: • Lịch làm việc (calendar): người ta có thể dùng nó như là một thời khoá biểu. Trong những phần mềm mạnh, chức năng này còn giữ nhiệm vụ thông báo sự kiện đã đăng kí trong lịch làm việc trước giờ xảy ra cho người chủ hộp thư. • Sổ địa chỉ (addresses hay contacts): dùng để ghi nhớ tất cả các địa chỉ cần thiết cho công việc hay cho cá nhân. • Sổ tay (note book hay notes): để ghi chép, hay ghi nhớ bất kì điều gì. • Công cụ tìm kiếm thư điện tử (find hay search mail). Để hiểu hết tất cả các chức năng của một phần mềm thư điện tử người dùng có thể dùng chức năng giúp đỡ (thường có thể mở chức năng này bằng cách nhấn nút <F1> bên trong phần mềm thư điện tử). 3. Phương thức hoạt động của một hệ thống thư điện tử Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 5 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Hoạt động của hệ thống email hiện nay có thể dược minh họa qua phân tích một thí dụ như sau: Hình 2: Hoạt động của email. Khi chúng ta muốn gửi email, cần phải chỉ định rõ ràng địa chỉ của người nhận dưới dạng user@domain.ext. Như trong ví dụ trên là freman.alpha@arrakis.com, email được gửi đi từ phía client với chuẩn giao thức Simple Mail Transfer Protocol – SMTP, có thể tạm hình dung đây giống như bưu điện trung gian, có nhiệm vụ kiểm tra tem và địa chỉ trên bức thư để biết điểm đến chính xác. Nhưng nó lại không hiểu rõ về domain – tên miền, khái niệm này khá trừu tượng và tương đối khó hiểu. Tại bước này, Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 6 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email server SMTP sẽ phải liên lạc với server Domain Name System. Server DNS này tương tự như chiếc điện thoại hoặc cuốn sổ địa chỉ trên Internet, nhiệm vụ chính là biên dịch các domain như arrakis.com thành địa chỉ IP như 74.238.23.45. Sau đó, nó sẽ tìm ra bất cứ domain nào có MX hoặc server mail exchange trên hệ thống và tạm thời đánh dấu domain đó. Để đơn giản hơn, các bạn hãy hình dung quá trình này như sau: bưu điện nơi bạn gửi thư sẽ tiến hành kiểm tra trên bản đồ để xác định điểm đến, liên lạc với bưu điện tại đó để kiểm tra người nhận có hộp thư để nhận hay không. Giờ đây, khi server SMTP đã có đủ lượng thông tin cần thiết, tin nhắn sẽ được gửi từ server đó đến server mail exchange của domain - Mail Transfer Agent (MTA). Nó sẽ quyết định chính xác thư đến sẽ đặt tại đâu, tương ứng với việc bưu điện ở khu vực người nhận sẽ chuyển thư đến địa chỉ nào thuận tiện nhất. Và sau đó, người bạn sẽ đi nhận thư, thông thường sử dụng chuẩn giao thức POP hoặc IMAP. <Tìm hiểu cách thức hoạt động của email>. Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 7 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Phần II: Nguyên tắc cơ bản của bảo mật email. 1. Confidentiality (Tính bảo mật) Để thực hiện việc đảm bảo dữ liệu không bị phơi bày trước tiên phải quan tâm từ tầng vật lý, phòng làm việc và nơi cất trữ những tài liệu quan trọng phải được bảo mật, bởi khi có kẻ đột nhập copy toàn bộ dữ liệu thì dù hệ thống mạng có an toàn mấy cũng như không, trước tiên cần phải quan tâm tới tầng vật lý, đảm bảo nơi lưu. Khi các điều kiện về phòng ốc và các thiết bị an ninh đã được đảm bảo bạn cần quan tâm tới việc điều khiển truy cập. Trong Access Control hai vấn đề lớn nhất cần được quan tâm đó là Subject và Object phải đảm bảo rằng những người không có thẩm quyền không thể truy cập vào được. Dữ liệu cần được mã hoá khi lưu trữ và khi truyền tải thông tin trên mạng để tránh rò rỉ thông tin. 2. Integrity (Tính toàn vẹn) Đảm bảo tính nguyên vẹn của dữ liệu cũng là một yêu cầu trong bảo mật email, ngăn chặn những người không có thẩm quyền chỉnh sửa, phá hoại dữ liệu là việc cần thiết không kém. Và với yêu cầu trên các việc cần phải làm để thoả mãn là trước tiên vẫn phải quan tâm tới tầng vật lý đặc biệt là Clients/Servers cần phải được đảm bảo an toàn. Người yêu cầu truy cập dữ liệu là phải được xác thực, và Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 8 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email thông tin yêu cầu của đối tượng phải được trả lại đúng như yêu cầu của họ không bị chỉnh sửa khi truyền trên mạng. 3. Availability (Tính sẵn sàng) Luôn có giải pháp phòng chống sự cố từ tầng vật lý cho tới aplication. Nguồn điện phải có giải pháp UPS, chống cháy nổ, với các thiết bị chống sét…Với Server phải có giải pháp cluster, load-balancing Với thiết bị mạng phải có các đường backup khi xảy ra vấn đề với đường truyền. 4. Non-Repudiation (Tính không thể từ chối) Thông tin được cam kết về mặt pháp luật của người cung cấp. Khi thông tin được gửi đi, phải đảm bảo chắc chắn rằng đó là thông tin của người gửi và người gửi không thể từ chối rằng mình đã gửi thông tin đó. Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 9 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Phần III: Các mối đe dọa Về bản chất, email được lưu và truyền đi dưới dạng plaintext nên có rất nhiều nguy cơ đe dọa tới tính an toàn và toàn vẹn của email. Sau đây là một số mối đe dọa thực tế và tiềm ẩn trong khi chúng ta sử dụng dịch vụ email. 1. Eavesdropping Nghe trộm là một phương pháp cũ nhưng hiệu quả. Phương pháp này sử dụng một thiết bị mạng(Router, Card mạng ) và một chương trình ứng dụng(TCPdump, Ethereal, Wireshark ) để giám sát lưu lượng mạng, bắt gói tin đi qua thiết bị này. Kỹ thuật này thực hiện dễ dàng hơn với mạng không dây. Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 10 [...]... Nhật Quang Trang 20 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT S/MIME: Security/Multipurpose Internet Mail Extensions Là một chuẩn mã hóa phục vụ cho việc mã hóa khóa công khai và chứng thực dữ liệu Được xây dựng bởi IETF S/MIME đưa vào 2 phương pháp an ninh cho email: • Mã hóa email • Chứng thực Cả 2 cách đều dựa vào mã hóa bất đối xứng và cơ... Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT Hoạt động xác thực của PGP: • Người gửi tạo mẩu tin • Sử dụng SHA-1 để sinh hash 160 bit của mẩu tin • Mã hóa hash bằng RSA sử dụng khóa riêng của người gửi và đính kèm vào thư • Người nhận sử dụng RSA với khóa công khai của người gửi để giải mã và khôi phục bản hash • Người nhận kiểm tra mẩu tin nhận, sử dụng bản... thức hoạt động của email Ngày đăng 18/03/2011, ngày truy cập 18/5/2011 < http://www.quantrimang.com.vn/kienthuc/kien-thuc-co-ban/76704_Tim-hieuve-cach-thuc-hoat-dong-cua -email. aspx> • An toàn mạng máy tính Tô Nguyễn Nhật Quang Nhóm sinh viên thực hiện GVHD: Ths Tô Nguyễn Nhật Quang Trang 23 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT Nhóm sinh viên... GVHD: Ths Tô Nguyễn Nhật Quang Trang 16 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email - Môn: ƯDTT & ANTT Quy trình cấu hình cho Gmail khá đơn giản,chỉ cần các bạn vào Gmail,phần CÀI ĐẶT  Mục TÀI KHOẢN VÀ NHẬP  KIỂM TRA THƯ BẰNG CÁCH SỬ DỤNG POP3 Hình 11 : Thiết lập check mail qua Gmail - Chọn Thêm tài khoản email POP3 và tiến hành điền thông tin đầy đủ để thiết lập... vẫn tin rằng học đang trực tiếp nói chuyện với nhau mà không nhận ra rằng sự bảo mật và tính toàn vẹn dữ liệu của các gói tin mà họ nhận được đã không còn Hình 4: Message Modification 3 Fake message Nhóm sinh viên thực hiện GVHD: Ths Tô Nguyễn Nhật Quang Trang 11 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT Tạo ra thư nặc danh, hoặc là giả dạng email. .. thực hiện GVHD: Ths Tô Nguyễn Nhật Quang Trang 18 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT • Mã hóa 1 Bảo mật email với PGP PGP (Pretty Good Privacy) là một phần mềm dùng để mật mã hóa dữ liệu và xác thực cho dữ liệu truyền thông Phiên bản PGP đầu tiên do Phil Zimmermann được công bố vào năm 1991 Với mục tiêu ban đầu là phục vụ cho mã hóa thư... Nguyễn Nhật Quang Trang 17 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT Hình 12 : Thiết lập check mail qua Gmail – bước 2 Hình 13 : Thiết lập check mail qua Gmail – bước 3 4) Triển Khai : Chứng thực và Mã hóa mail Bảo mật cho email là nhiệm vụ cần thiết và được xem là sống còn với những hệ thống Có 2 phương pháp bảo mật cho email: • Chứng thực Nhóm... những mất mát thông tin và những nguy cơ tiềm ẩn khác trong việc sử dụng dịch vụ email Qua quá trình thực hiện đề tài, nhóm chúng em đã tích lũy thêm được những kiến thức quý báu phục vụ cho việc học tập và làm việc sau này Nhóm sinh viên thực hiện GVHD: Ths Tô Nguyễn Nhật Quang Trang 22 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT Phần V: Tài liệu... liệu đó Ngay cả khi dữ liệu đã được chứng thực, chủ sở hữu của dữ liệu xác thực có thể thuyết phục quan tòa rằng vì những sơ hở, bất cứ ai cũng có thể dễ dàng chế tạo tin nhắn và làm cho nó giống như thật Nhóm sinh viên thực hiện GVHD: Ths Tô Nguyễn Nhật Quang Trang 12 Đại học Công Nghệ Thông Tin Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT Hình 6: Repudiation 5 Spam Mail... Truyền Thông Đề tài: Secure Email Môn: ƯDTT & ANTT • End entity: Là người dùng chứng chỉ hoặc thiết bị có hỗ trợ PKIX • Certificate Authority(CA): Tổ chức có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ • Registration Authority(RA): Có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ • Repository: Có trách nhiệm lưu trữ, quản lý chứng chỉ và danh sách các chứng chỉ bị thu hồi . danh sách quốc tế, trong giới truyền thông và các hãng bảo mật. Nguy cơ mất an toàn thông tin ở Việt Nam đang ngày càng tăng lên khi đã rơi vào top 10 quốc gia có nguy cơ mất an toàn thông tin. thực, và Nhóm sinh viên thực hiện. GVHD: Ths. Tô Nguyễn Nhật Quang Trang 8 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email thông tin. Tô Nguyễn Nhật Quang Trang 3 Đại học Công Nghệ Thông Tin Môn: ƯDTT & ANTT Khoa: Mạng Máy Tính & Truyền Thông Đề tài: Secure Email Hình 1: Thời kỳ đầu của máy tính và email. 1. Cấu trúc