HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ──────── * ──────── BÁO CÁO MÔN: CƠ SỞ AN TỒN THƠNG TIN DỊCH VỤ ĐỒNG BỘ DỮ LIỆU QUA ĐÁM MÂY VÀ SẢN PHẨM BOXCRYPTOR MÃ HÓA DỮ LIỆU KHI ĐỒNG BỘ QUA ĐÁM MÂY Giảng viên hướng dẫn: ThS Vũ Thị Vân Lớp: AT11 - L03 Sinh viên thực hiện: Lý Văn Bòng Nguyễn Văn Nguyên Dương Nhật Quân Nguyễn Thanh Trưởng Hà Nội, 2017 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Nhận xét giáo viên i Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Mục lục Nhận xét giáo viên i Mục lục ii Lời cảm ơn iv Lời nói đầu v Danh mục từ viết tắt vii Danh mục hình ảnh Chương 1.1 Tổng quan điện toán đám mây Tổng quan 1.1.1 Lịch sử 1.1.2 Đặc điểm 1.1.3 So sánh cơng nghệ điện tốn đám mây với cơng nghệ khác 1.2 Mơ hình kiến trúc điện toán đám mây 1.2.1 Thành phần 1.2.2 Mơ hình kiến trúc 1.2.3 Ứng dụng 1.2.4 Nên tảng 1.2.5 Cơ sở hạ tầng 1.3 Các mơ hình triển khai 10 1.3.1 Đám mây công cộng 10 1.3.2 Đám mây riêng 10 1.3.3 Đám mây lai 11 1.3.4 Đám mây cộng đồng 11 1.4 Đặc điểm đám mây 12 1.4.1 Kỹ thuật đám mây 12 1.4.2 Lưu trữ đám mây 13 1.4.3 Các vấn đề an toàn cần quan tâm 14 1.5 Đánh giá hệ thống điện toán đám mây 14 1.5.1 Sự an toàn 15 1.5.2 Độ tin cậy 16 1.5.3 Ưu, nhược điểm mơ hình 16 Nhóm – L03 ii Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Chương 2.1 Sản phẩm Boxcryptor mã hóa liệu đồng qua đám mây 19 Giới thiệu Boxcryptor 19 2.1.1 Giới thiệu 19 2.1.2 Các tính Boxcryptor 20 2.1.3 Hỗ trợ nhà cung cấp 23 2.1.4 Nền tảng hỗ trợ 24 2.1.5 Các giải thưởng Boxcryptor 26 2.2 Tổng quan kỹ thuật 28 2.2.1 Mã hóa giải mã liệu Boxcryptor 29 2.2.2 Quản lý hoạt động người dùng Boxcryptor 30 2.2.3 Chia sẻ quyền truy cập tập tin hoạt động 32 2.2.4 Boxcryptor zero-knowledge 33 2.2.5 Cách Boxcryptor quản lý mật xác thực người dùng 34 2.2.6 Những liệu lưu trữ Boxcryptor Server 36 2.2.7 Sự khác tài khoản local Boxcryptor 38 2.3 Những thư viện mật mã sử dụng Boxcryptor 40 Kết luận 42 Tài liệu tham khảo 43 Nhóm – L03 iii Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Lời cảm ơn Trước tiên, chúng em xin gửi lời cám ơn chân thành tới tất thầy, cô trường Học Viện Kỹ Thuật Mật Mã nhiệt tình giảng dạy truyền đạt kiến thức tảng quý báu để chúng em có thể hoàn thành báo cáo Đặc biệt chúng em xin chân thành cảm ơn giáo Vũ Thị Vân tận tình hướng dẫn, dạy chúng em suốt trình thực báo cáo Mặc dù có nhiều cố gắng trình học tập thời gian thực báo cáo, với lượng kiến thức hạn hẹp nên báo cáo chúng em tránh khỏi thiếu sót Chúng em mong nhận góp ý quý báu tất thầy, cô tất bạn để báo cáo chúng em hoàn thiện Chúng em xin chân thành cảm ơn! Nhóm – L03 iv Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Lời nói đầu Đề tài: Tìm hiểu dịch vụ đồng qua đám mây sản phẩm Boxcryptor mã hóa liệu đồng qua đám mây Lý chọn báo cáo: Trên giới ngày có nhiều công ty chuyển dịch theo hướng giải pháp công nghệ thông tin bao gồm điện toán đám mây Trước hết, điện toán đám mây có thể cắt giảm chi phí liên quan đến việc cung cấp dịch vụ công nghệ thơng tin Có thể giảm vốn chi phí vận hành cách nhận tài nguyên sử dụng chúng trả tiền cho sử dụng Ngồi điện tốn đám mây, làm giảm số khoản chi tiêu bắt buộc kết hợp với việc quản lý nguồn tài nguyên khác tồn doanh nghiệp Cuối cùng, mơ hình điện tốn đám mây cung cấp linh hoạt kinh doanh Nhờ khả điều chỉnh mở rộng doanh nghiệp có thể đáp ứng dễ dàng nhu cầu hạ tầng thay đổi Hiểu theo cách khác, điện toán đám mây thực kết hợp nhiều công nghệ có (SOA-Service Oriented Architecture, ảo hóa) với ý tưởng để tạo giải pháp công nghệ thông tin đầy đủ Với ưu điểm việc áp dụng mơ hình điện tốn đám mây hướng lựa chọn tất yếu tương lai Với dịch vụ Điện toán đám mây, liệu người dùng đồng cách tự động mà khơng đòi hỏi thiết bị phải kết nối với nhau, cần kết nối vào mạng Internet đủ Tuy nhiên, vấn đề cần giải bảo mật liệu dịch vụ Dữ liệu nhạy cảm, riêng tư mà bạn có ý định lưu trữ chia sẻ đám mây phải mã hóa.Boxcryptor nhiều đề nghị mã hóa, bạn có thể xem xét? Boxcryptor sử dụng phần mềm mã hóa dễ dàng tối ưu hóa cho đám mây Nó cho phép người sử dụng an toàn dịch vụ lưu trữ đám mây mà khơng Nhóm – L03 v Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu hy sinh thoải mái Boxcryptor hỗ trợ tất nhà cung cấp lưu trữ đám mây lớn (như Dropbox , Google Drive , Microsoft OneDrive , SugarSync ) hỗ trợ tất đám mây sử dụng tiêu chuẩn WebDAV (như Cubby, Strato HiDrive, ownCloud) Với Boxcryptor tập tin bạn bảo vệ từ thời điểm bạn gửi cho nhà cung cấp điện toán đám mây bạn Bạn có thể thưởng thức yên tâm biết thông tin bạn rơi vào tay kẻ xấu Mục tiêu: ● Tìm hiểu dịch vụ điện tốn đám mây ● Tìm hiểu sản phẩm Boxcryptor mã hóa liệu đồng liệu qua đám mây Yêu cầu: ● Tìm hiểu dịch vụ đồng qua đám mây ● Tìm hiểu chế xác thực, mã hóa/giải mã, hàm băm sản phẩm Boxcryptor ● Thời gian hồn thành báo cáo: 05/10/2016 Phân cơng cơng việc: ● Bòng: Tìm hiểu chung điện tốn đám mây ● Quân: Tìm hiểu dịch vụ phổ biến ● Trưởng: Tìm hiểu thuật tốn mã hóa hàm băm ● Nguyên: Tìm hiểu BoxCryptor Kết đạt được: ● Hiểu dịch vụ đồng qua đám mây ● Hiểu chế xác thực, mã hóa/giải mã, hàm băm sản phẩm Boxcryptor ● Hồn thành báo cáo đầy đủ Nhóm – L03 vi Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Danh mục từ viết tắt NIST National Institute of Standards and Technology SaaS Software as a Service SOA Service Oriented Architecture PaaS Platform as a Service IaaS Instructure as a Service WAN Wide Area Network API Application programming interface SAN Storage Area Network AWS Amazon Web Services QoS Quality of Service SSH Secure Shell VM Virtual Machine Nhóm – L03 vii Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Danh mục hình ảnh Hình 1.1 Mơ hình kiến trúc Hình 1.2 SaaS cung cấp dịch vụ cho khách hàng Hình 1.3 PaaS cho phép khách hàng truy cập vào tảng nên điện toán đám mây Hình 1.4 IaaS cho phép nhà cung cấp dịch vụ thuê tài ngun phần cứng9 Hình 1.5 Các mơ hình điện toán đám mây 10 Hình 1.6 Các thành phần đám mây riêng 11 Hình 1.7 Những thành phần kỹ thuật đám mây 13 Hình 1.8 Khách hàng thuê máy chủ ảo làm máy chủ sở liệu 15 Hình 1.9 Mã hóa xác thực hai biện pháp an ninh sử dụng để giữ an toàn liệu đám mây lưu trữ 16 Hình 1.10 Một thảm họa xảy ra, liệu khách hàng cloud lưu trữ không bị 17 Hình 2.1 Sản phẩm Boxcyptor mã hóa liệu đám mây 19 Hình 2.2 Các dịch vụ Boxcryptor hỗ trợ 24 Hình 2.3 Các giải thưởng Boxcryptor 27 Hình 2.4 Cơ chế giải mã Boxcrytor 29 Hình 2.5 Những thành phần kỹ thuật đám mây 29 Hình 2.6 Cơ chế xác thực tài khoản Boxcryptor 36 Hình 2.7 Thơng tin lưu Boxcryptor Server 37 Nhóm – L03 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Chương 1.1 Tổng quan điện toán đám mây Tổng quan Điện toán đám mây (Thuật ngữ tiếng Anh: Cloud Computing, hay biết đến với tên gọi “Điện tốn máy chủ ảo”) mơ hình máy tính dựa tảng phát triển Internet Điện tốn đám mây nâng cấp từ mơ hình máy chủ mainframe sang mơ hình client-server Khách hàng khơng lo ngại kiến thức chun môn để điều khiển công nghệ, máy móc sở hạ tầng, mà chuyên gia “đám mây” nhà cung cấp giúp thực điều đó Thuật ngữ "đám mây" lối nói ẩn dụ mạng Internet liên tưởng độ phức tạp sở hạ tầng bên Ở mơ hình điện tốn, lĩnh vực liên quan đến công nghệ thông tin cung cấp dạng "dịch vụ", cho phép khác hàng truy cập vào dịch vụ nhà cung cấp đó "trong đám mây" mà không cần phải có kiến thức, kinh nghiệm cơng nghệ, không cần quan tâm đến sở hạ tầng bên Tài nguyên, liệu, phần mềm thông tin liên quan quản lý máy chủ (chính “đám mây”) “Ứng dụng điện toán đám mây” ứng dụng trực tuyến Internet Trình duyệt nơi ứng dụng hữu vận hành liệu lưu trữ xử lý máy chủ nhà cung cấp ứng dụng đó Điện tốn đám mây tính tốn, sử dụng phần mềm, truy cập liệu dịch vụ lưu trữ mà khách hàng không cần biết vị trí địa lý cấu hình hệ thống cung cấp dịch vụ Viện Tiêu chuẩn Công nghệ (NIST) đưa nghĩa định nghĩa cụ thể: “Điện toán đám mây mơ hình cho phép vị trí thuận tiện, khách hàng truy cập mạng theo yêu cầu chia sẻ tài nguyên máy tính (mạng, máy chủ, lưu trữ, ứng dụng dịch vụ) nhanh chóng từ nhà cung cấp Trong trường hợp xấu phải cung cấp dịch vụ hoạt động mức tương tác” 1.1.1 Lịch sử Khái niệm điện toán đám mây xuất từ năm 1960 trở lại đây, John McCarthy phát biểu “một ngày đó tính tốn tổ chức Nhóm – L03 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu 2.2.1 Mã hóa giải mã liệu Boxcryptor Boxcryptor thực trình mã hóa kết hợp dựa bất đối xứng RSA mã hóa AES đối xứng Mỗi tập tin có key file ngẫu nhiên độc đáo riêng nó mà tạo tập tin tạo Các file key sử dụng để mã hóa giải mã nội dung tập tin sau: ▪ Mã hóa: Tạo file key ngẫu nhiên an toàn Mã hóa liệu sử dụng file key Mã hóa file key với khóa cơng khai người dùng Lưu trữ file key mã hóa bên cạnh liệu mã hóa tập tin mã hóa Nếu nhiều người dùng có quyền truy cập vào tập tin, file key mã hóa nhiều lần với khóa công khai sử dụng khác kết lưu trữ tập tin mã hóa ▪ Giải mã: Giải mã file key mã hóa khóa riêng người dùng Giải mã liệu mã hóa cách sử dụng file key Hình 2.4 Cơ chế giải mã Boxcrytor Hình 2.5 Những thành phần kỹ thuật đám mây Các thuật tốn sử dụng: Nhóm – L03 29 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu AES với chiều dài khóa 256 bit, CBC (Cipher Khối Chaining) PKCS7 padding RSA với chiều dài khóa 4096 bit OAEP padding 2.2.2 Quản lý hoạt động người dùng Boxcryptor Việc quản lý sử dụng Boxcryptor có khái niệm sau đây:  Người dùng, nhóm khóa cơng ty - Mỗi người sử dụng, nhóm cơng ty có tập hợp khóa cặp khóa RSA, AES (riêng cơng khai) thêm khóa cho mục đích cụ thể Company keys tùy chọn thiết lập sách quan trọng tổng thể sử dụng - Boxcryptor sử dụng thêm khóa AES cho mục đích khóa cụ thể khơng tái sử dụng cho mục đích khác Hiện nay, khóa AES bổ sung sau sử dụng Boxcryptor Nếu có u cầu tính mới, danh sách phát triển tương lai - Wrapping key: Chìa khóa khố AES gốc sử dụng để mã hóa tất khóa AES lưu trữ máy chủ - Filename key: Khóa sử dụng để mã hóa tên tập tin mã hóa tên tập tin kích hoạt - Group key: Khóa sử dụng để mã hóa khóa thành viên nhóm sử dụng AES thêm cho mã hóa khóa cơng khai RSA để tăng tốc độ trình đăng nhập  Người sử dụng - Một người dùng người tạo tài khoản Boxcryptor nhận dạng địa email khóa người dùng - User keys tạo thiết bị người dùng thiết lập tài khoản tạo tài khoản Trước khóa nộp cho Boxcryptor Key Server, thông tin nhạy cảm mã hóa để người dùng có quyền truy cập vào Trước khóa nộp cho Boxcryptor Key Server, thông tin nhạy cảm mã hóa để người dùng có quyền truy cập vào - Private RSA key tin mã hóa với khóa mật người sử Nhóm – L03 30 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu dụng để rõ mật yêu cầu để giải mã khóa RSA - Wrapping key mã hóa với khóa mật người sử dụng để kiến thức mật yêu cầu để giải mã chủ chốt gói - Tất khóa AES khác mã hóa với wrapping key để truy cập vào wrapping key để giải mã khố AES khác  Nhóm - Một nhóm danh sách người dùng có khóa nhóm Ngồi ra, nhóm có chìa khóa thành viên đó sử dụng để quản lý thành viên nhóm - Các khóa nhóm tạo thiết bị người dùng người dùng tạo nhóm mới.Trước khóa nộp cho Boxcryptor Key Server, thông tin nhạy cảm mã hóa để người dùng tạo nhóm có quyền truy cập vào - Private RSA key mã hóa với khóa thành viên để truy cập vào thành viên cần thiết để giải mã khóa RSA tin - Wrapping key mã hóa với khóa thành viên để truy cập vào thành viên cần thiết để giải mã chủ chốt gói - Tất khóa AES khác mã hóa với wrapping key để truy cập vào wrapping key cần thiết để giải mã khoá AES khác - Membership key mã hóa với khóa cơng khai RSA người sử dụng để truy cập vào khóa RSA riêng người dùng yêu cầu để giải mã khóa thành viên - Để tăng tốc độ trình đăng nhập, chìa khóa thành viên bổ sung AES mã hóa với group key người dùng vào dịp - Ví dụ: người dùng đăng nhập Khi khóa thành viên có sẵn hình thức mã hóa AES, sau đó đăng nhập bổ sung sử dụng AES giải mã giải mật mã RSA nhanh nhiều Ví dụ: Nếu Alice cho biết thêm Bob vào nhóm mình, thành viên nhóm mã hóa với khóa RSA công cộng Bob Bây Bob có thể giải mã chìa khóa thành viên đó khóa RSA riêng nhóm  Cơng ty Nhóm – L03 31 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu - Người dùng thuộc cơng ty mà có company keys - Các company keys tạo thiết bị người dùng trình tạo tài khoản công ty Trước khóa nộp cho Boxcryptor Key Server, thông tin nhạy cảm mã hóa để người quản trị Cơng ty có quyền truy cập vào - Private RSA key cơng ty mã hóa quản trị cơng ty chủ chốt mật đặc biệt để kiến thức mật cần thiết để giải mã khóa riêng RSA cơng ty - Một cơng ty khơng có khóa AES bổ sung - Một cơng ty định nghĩa tập hợp sách (quy tắc) áp dụng cho tất người dùng nhóm thuộc cơng ty cụ thể (ví dụ chiều dài mật tối thiểu) 2.2.3 Chia sẻ quyền truy cập tập tin hoạt động Ví dụ: ● Nếu cổ phiếu Alice truy cập vào tập tin với Bob, Boxcryptor thực bước sau đây: Alice yêu cầu khóa công khai Bob từ Boxcryptor Key Server Alice mã hóa file key với khóa công khai Bob Alice viết file key mã hóa vào tập tin mã hóa Các nhà cung cấp lưu trữ đám mây đồng hóa tập tin mã hóa sửa đổi Bob sử dụng khóa riêng để giải mã file key Bob sử dụng file key để giải mã tập tin ● Nếu cổ phiếu Alice truy cập vào tập tin với nhóm mà Bob thành viên, Boxcryptor thực bước sau đây: Alice yêu cầu khóa công khai nhóm từ Boxcryptor Key Server Alice mã hóa file key với khóa công khai nhóm Alice viết file key mã hóa vào tập tin mã hóa Nhóm – L03 32 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Các nhà cung cấp lưu trữ đám mây đồng hóa tập tin mã hóa sửa đổi Bob sử dụng khóa riêng để giải mã khóa thành viên nhóm Bob sử dụng khóa thành viên nhóm để giải mã khóa riêng nhóm Bob sử dụng khóa riêng nhóm để giải mã file key Bob sử dụng file key để giải mã tập tin 2.2.4 Boxcryptor zero-knowledge Boxcryptor nhà cung cấp dịch vụ zero-knowledge thông tin cá nhân nhạy cảm mà nhận từ người sử dụng luôn dạng mã hóa bảo vệ mật người dùng - đó không chuyển giao cho Chỉ có khóa cơng khai văn gốc Đây cách nó hoạt động: Mật khẩu, khóa mật mã khóa tập tin không rời khỏi thiết bị người sử dụng không chuyển giao nơi Mặt khác, người sử dụng khóa, khóa nhóm, khóa công ty lưu trữ máy chủ Boxcryptor dạng mã hóa Như chúng tơi nhà cung cấp zero-knowledge dịch vụ, trước nộp hồ sơ, tất thơng tin nhạy cảm (ví dụ khóa riêng RSA gói khóa) mã hóa sử dụng khóa mà không gửi đến Boxcryptor Key Server (như mật cá nhân) yêu cầu quyền truy cập vào khóa đó không có sẵn rõ để Boxcryptor Key server (như khóa thành viên khóa gói) Điểm khởi đầu cho trình giải mã chìa khóa mật người sử dụng điều cần thiết để mở khóa khóa riêng khóa gói mà sau đó yêu cầu để mở khóa tất khóa khác hệ thống (khóa AES, khóa file, khóa thành viên, khóa nhóm , vv) Chìa khóa mật nhiên khơng rời khỏi thiết bị người dùng Vì vậy, cửa hàng Boxcryptor chủ khóa cho tất người dùng, Boxcryptor nhà cung Nhóm – L03 33 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu cấp dịch vụ zero-knowledge khóa nhạy cảm nhận từ người sử dụng dạng mã hóa Các loại khóa lưu trữ rõ Boxcryptor Key Server khóa công khai mà khơng chứa thơng tin nhạy cảm và, cơng khai, khơng cần phải giữ bí mật 2.2.5 Cách Boxcryptor quản lý mật xác thực người dùng ▪ Quản lý mật Mật người dùng không rời khỏi thiết bị khơng Boxcryptor nộp mật nơi mật người dùng sử dụng cho hai mục đích: xác thực người dùng giải mã khóa riêng người dùng Trong hai trường hợp, Boxcryptor không sử dụng mật riêng mình, derivates mật gọi chìa khóa mật hash mật Này giải thích sau ▪ Password key: Boxcryptor sử dụng khóa kéo dài tăng cường PBKDF2 tiêu chuẩn với HMACSHA512, 10.000 lặp muối 24 byte ngẫu nhiên để lấy khóa mã hóa mạnh mẽ từ mật Chìa khóa mật sử dụng để giải mã khóa RSA riêng người dùng ▪ Mật băm: PBKDF2 với HMACSHA512 5000 lần lặp sử dụng để lấy hash mật từ mật muối khác sử dụng Để lấy hash mật khẩu, muối sử dụng đó kết hợp địa email người dùng muối ứng dụng cụ thể Các hash mật sử dụng để xác thực người dùng ▪ Xác thực người dùng Khi người dùng tạo tài khoản Boxcryptor, Boxcryptor xuất phát hash mật từ mật người dùng hash mật sử dụng cho tất hoạt động xác thực Chỉ có hash hash mật lưu trữ Boxcryptor Key Server - mật băm riêng không lưu trữ Đây cách nó hoạt động: ▪ Một người sử dụng tạo tài khoản Boxcryptor Nhóm – L03 34 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Các hash mật có nguồn gốc từ mật Các hash mật (và khơng phải mật nó) gửi đến Boxcryptor chủ Trên máy chủ, hash mật băm lần sử dụng PBKDF2 với HMACSHA512, 10.000 lặp ngẫu nhiên muối 24 byte người dùng Trên máy chủ, băm hash mật sau đó lưu trữ dạng mã hóa sở liệu ▪ Một người dùng đăng nhập xác thực thân Các hash mật có nguồn gốc từ mật cung cấp Các địa email password hash gửi đến Boxcryptor chủ Trên máy chủ, hash mật băm PBKDF2 với HMACSHA512, 10.000 lặp ngẫu nhiên muối 24 byte người dùng Trên máy chủ, mật băm so sánh với giá trị lưu trữ sở liệu.Nếu nó phù hợp, người sử dụng cung cấp mật xác xác thực thành công.Nếu không, mật sai Lưu ý: trình cần thiết để xác thực người dùng chống lại Boxcryptor Key Server - không để có quyền truy cập vào tập tin mã hóa Truy cập vào tập tin mã hóa ln dựa vào giải mã xác khóa riêng người sử dụng mà đòi hỏi phải có kiến thức mật xác Ngay kẻ cơng chứng thực giả (ví dụ cách hack Boxcryptor Key Server) ông giải mã tập tin mà khơng cần biết mật xác biết đến người sử dụng Nhóm – L03 35 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Hình 2.6 Cơ chế xác thực tài khoản Boxcryptor 2.2.6 Những liệu lưu trữ Boxcryptor Server Để cung cấp trải nghiệm người dùng liên tục số thiết bị khác với tính cốt lõi chia sẻ tập tin truy cập, Boxcryptor cần để lưu trữ liệu người dùng Boxcryptor Key Server Những thông tin bao gồm: ▪ Thông tin người dùng ▪ Thông tin chung (email, tên, vv ) ▪ Private RSA key (mã hóa với mật người dùng) ▪ ▪ ▪ ▪ ▪ Public RSA key AES keys (mã hóa với password/ wrapping key người dùng) Hash password Số lần lặp KDF sử dụng Muối (salt) Nhóm – L03 36 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu ▪ Nếu cơng ty sử dụng master key: Password Key (mã hóa với khóa RSA cơng khai cơng ty) Hình 2.7 Thông tin lưu Boxcryptor Server ▪ Thông tin nhóm ▪ Thơng tin chung (tên, vv ) ▪ Private RSA key (mã hóa với membership key) ▪ Public RSA key ▪ AES keys (mã hóa với membership key / wrapping key) ▪ Membership key (mã hóa với public RSA key thành viên) ▪ Membership key (không bắt buộc - AES mã hóa với thành viên group key) ▪ Thông tin công ty ▪ Thông tin chung (tên, vv ) ▪ Private RSA key (mã hóa mật quản trị công ty) ▪ Public RSA key ▪ Danh sách người dùng ▪ Các sách nhóm ▪ Các thông tin Boxcryptor Key Server bảo đảm Nhóm – L03 37 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Do tính chất zero-kiến thức Boxcryptor, tất thông tin nhạy cảm nhận Boxcryptor chủ mã hóa (ví dụ tin khóa RSA) phục hồi (ví dụ mật băm) đó bảo đảm Để tăng cường an ninh, tất nhạy cảm (ví dụ liệu quan trọng) có thơng tin cá nhân (ví dụ địa email) mã hóa bổ sung trước tiếp tục lưu vào sở liệu Các khóa mã hóa sở liệu có sẵn cho ứng dụng thời gian chạy Trong trường hợp vi phạm sở liệu kẻ công có thể để có quyền truy cập vào liệu mã hóa Xem bảng với số ví dụ cách thức thơng tin lưu máy chủ: Mô tả Các "user@example.xxx" địa email lưu trữ Email sở liệu chuỗi "SLMIL5crw / YIWDoZLU5ehifcoOsTsyg" Khóa riêng người dùng mã hóa mật Private RSA key người sử dụng máy khách (thiết bị người sử dụng) sau đó khóa riêng mã hóa mã hóa lần với khóa mã hóa sở liệu Các mật băm máy khách (thiết bị Password người sử dụng) Các hash mật băm lại máy chủ băm hash mật mã hóa với sở liệu mã hóa khóa 2.2.7 Sự khác tài khoản local Boxcryptor  Boxcryptor yêu cầu kết nối internet Boxcryptor yêu cầu kết nối internet để gửi nhận liệu đến từ Boxcryptor Key Server giải thích "Những liệu lưu trữ Boxcryptor Key Server" Cụ thể, trường hợp sử dụng sau đòi hỏi kết nối Internet: ▪ Tạo tài khoản Boxcryptor Nhóm – L03 38 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Sau hoàn tất mẫu đăng ký tạo khóa người dùng cục thiết bị, Boxcryptor gửi (mã hóa) thông tin người dùng nêu để Boxcryptor Key Server để tạo tài khoản ▪ Thiết lập thiết bị Khi đăng nhập với tài khoản Boxcryptor thiết bị mới, Boxcryptor xác thực người sử dụng dựa thông tin (email, mật băm) lấy tất thơng tin người sử dụng (ví dụ tên, nhóm, vv) tất liệu quan trọng cho người sử dụng (ví dụ người sử dụng khóa, khóa nhóm nhóm người sử dụng, vv) cửa hàng thông tin địa phương thiết bị ▪ Chia sẻ quyền truy cập vào tập tin thư mục Khi chia sẻ tập tin thư mục với người dùng khác, Boxcryptor lấy khóa công khai người sử dụng sepcific từ Boxcryptor Key Server ▪ Quản lý nhóm Tạo, chỉnh sửa, xóa nhóm thành viên nhóm nó đòi hỏi quyền truy cập vào Boxcryptor Key Server ▪ Đồng hoá thông tin lưu trữ Trong Boxcryptor chạy, cố gắng liên tục đồng hóa tất thơng tin người dùng liệu cho đăng nhập người dùng kết nối Internet có sẵn  Khả sử dụng Boxcryptor khơng có kết nối Internet: Bên cạnh trường hợp sử dụng mô tả "tại Boxcryptor yêu cầu kết nối internet", Boxcryptor không cần kết nối internet đặc biệt trình mã hóa giải mã khơng u cầu kết nối internet Một người dùng cài đặt Boxcryptor máy tính đăng nhập thành cơng-tại - khóa người dùng chuyển giao cho thiết bị Boxcryptor đầy đủ chức để mã hóa giải mã tập tin kết Nhóm – L03 39 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu nối internet Chỉ có trường hợp sử dụng liệt kê đề cập phần khơng thể thực mà khơng có kết nối đến Boxcryptor Key Server  Sự khác biệt tài khoản địa phương Boxcryptor Người dùng yêu cầu để giữ quyền kiểm sốt vật lý qua thơng tin người dùng khóa họ có thể chọn để sử dụng Boxcryptor với tài khoản địa phương thay tài khoản Boxcryptor lưu trữ Boxcryptor Key Server Khi sử dụng tài khoản địa phương, tất thông tin người dùng liệu quan trọng lưu trữ file key thiết bị địa phương thay truyền tới Boxcryptor Key Server Tài khoản cục có thể chuyển đổi sang tài khoản Boxcryptor (và ngược lại) lúc Quan trọng: Chia sẻ truy cập vào tập tin thư mục khơng có sẵn sử dụng tài khoản địa phương đòi hỏi tài khoản Boxcryptor truy cập vào máy chủ Ngồi ra, trách nhiệm người sử dụng để chăm sóc file key chép vào thiết bị khác, tạo lưu, vv Nếu file key bị mất, quyền truy cập vào tất tập tin mã hóa bị mất! (Mẹo: Do thông tin nhạy cảm file key (ví dụ khóa riêng) mã hóa, người dùng có thể lưu trữ file key lưu trữ đám mây mình.) 2.3 Những thư viện mật mã sử dụng Boxcryptor Để thực hệ mã hóa "cấp thấp" số ngẫu nhiên thực tế, Boxcryptor dựa thành lập chứng minh thư viện bên thứ ba Tùy thuộc vào tảng mục đích, Boxcryptor sử dụng thư viện mã nguồn mở phổ biến thư viện mà phần hệ điều hành Các thư viện sau sử dụng: ▪ Windows: Microsoft CryptoAPI (gọi từ NET Framework cryptography namespace); RNG: NET RNGCryptoServiceProvider Nhóm – L03 40 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu ▪ Mac OS X iOS: Common Crypto, Security Framework OpenSSL; RNG: SecRandomCopyBytes ▪ Android: Bouncy Castle / Spongy Castle; RNG: Java SecureRandom ▪ Chrome: Javascript / C thực (Khơng thích hợp thư viện bên thứ ba có sẵn) Nhóm – L03 41 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Kết luận Mơ hình điện tốn đám mây sản phẩm mã hóa liệu Boxcryptor đám mây năm gần thu hút ý nhà cung cấp dịch vụ công nghệ thông tin giới tìm hiểu ưu điểm bật nó Vì tìm hiểu hệ thống ứng dụng mơ hình để cung cấp dịch vụ cho người dùng việc làm cần thiết Không nằm ngồi mục đích đó, báo cáo trình bày cách có hệ thống sở lý thuyết mơ hình điện tốn đám mây chế xác thực mã hóa ứng dụng mà mơ hình có thể cung cấp cho người sử dụng với đặc điểm bật như: linh hoạt, tiết kiệm chi phí triển khai hạ tầng, độ an toàn ổn định cao Ngoài ra, báo cáo thể tính khả thi mơ hình điện toán đám mây + sản phẩm Boxcryptor để lưu trữ liệu cách an toàn và người dùng dễ dàng thực Điện tốn đám mây công nghệ mới, bên cạnh đó việc mã hóa liệu chưa nhiều người dùng thực quan tâm Điện toán đám mây phát triển mở rộng với tốc độ nhanh chóng công nghệ thay dần công nghệ truyền thống thời gian tới Việc ứng dụng điện toán đám mây không cho doanh nghiệp vừa nhỏ, hay người dùng đơn lẻ mà nó triển khai cho doanh nghiệp lớn, quan nhà nước Vấn đề đặt sử dụng điện toán đám mây có thực an tồn cho tính riêng tư người sử dụng; tính tồn vẹn liệu; tính bảo mật Đây vấn đề cần đầu tư nghiên cứu thời gian tới Nhóm – L03 42 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Tài liệu tham khảo STT Tên - Link tài liệu Ngày TK Marc Benioff , Điện Toán Đám Mây 22-08-2017 Anthony T Velte, Toby J Velte, Ph.D, Robert Elsenpeter Cloud Computing 22-08-2017 https://www.boxcryptor.com 22-08-2017 http://cloudcomputing.sys-con.com 22-08-2017 Nhóm – L03 43 ... Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Lời nói đầu Đề tài: Tìm hiểu dịch vụ đồng qua đám mây sản phẩm Boxcryptor mã hóa liệu đồng qua đám mây Lý chọn báo cáo: Trên giới.. .Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Nhận xét giáo viên i Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu Mục lục Nhận xét giáo... thống Nhóm – L03 Dịch vụ đồng liệu qua đám mây sản phẩm Boxcryptor mã hóa liệu 1.3 Các mơ hình triển khai Hình 1.5 Các mơ hình điện tốn đám mây 1.3.1 Đám mây công cộng Là dịch vụ đám mây bên thứ ba