HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI BÁO CÁO MƠN HỌC: CƠ SỞ AN TỒN THƠNG TIN NHĨM : G10-02 Giảng viên: Hồng Xn Dậu Chủ đề: Tìm hiểu giao thức bảo mật PGP: kiến trúc, hoạt động ứng dụng Các thành viên nhóm: Hồng Ngọc Thắng-B19DCAT186 (nhóm trưởng) Nguyễn Anh Thiên-B19DCAT189 Nguyễn Tuấn Thành-B19DCAT178 Phạm Tiến Thành-B19DCAT180 Hoàng Quốc Thịnh-B19DCAT191 Nội dung chính: • Giới thiệu PGP • Kiến trúc PGP • Giải thuật PGP • Đặc điểm PGP • Cách PGP hoạt động • Yếu điểm PGP • Ứng dụng PGP GIAO THỨC BẢO MẬT PGP GIỚI THIỆU PGP gì: PGP(Pretty Good Privacy-Bảo mật mạnh) phát triển nhà khoa học Phil Zimmerman vào năm 1991 Đây phần mềm mã hóa thiết kế để đảm bảo tính riêng tư, bảo mật xác thực cho hệ thống truyền thông trực tuyến PGP chủ yếu sử dụng để mã hóa thơng tin liên lạc lớp Ứng dụng , thường sử dụng cho nhắn tin mã hóa đối Bạn thấy cần sử dụng PGP bạn muốn chắn người nhận dự định truy cập tin nhắn riêng tư bạn, cản trở nỗ lực bên chặn bạn muốn xác minh danh tính người gửi Có nhiều biến thể khác PGP: OpenPGP, PGP GPG, nhìn chung tất chúng hoạt động giống Đây bảng thuật ngữ nhanh: PGP: Quyền riêng tư Khá Tốt, giao thức độc quyền ban đầu Phát hành vào năm 1991 OpenPGP: Quyền riêng tư tốt, phiên mã nguồn mở trở thành tiêu chuẩn PGP chấp nhận toàn cầu Phát hành vào năm 1997 GPG: GNU Privacy Guard, giải pháp phổ biến khác tuân theo tiêu chuẩn OpenPGP Phát hành năm 1999 Khi nói PGP, nói chung an tồn họ đề cập đến tiêu chuẩn OpenPGP KIẾN TRÚC Hai dịch vụ mà PGP cung cấp cho người dùng là: mã hóa xác thực thơng điệp Khi thiết kế ứng dụng bảo mật email, người thiết kế phải đương đầu với hai vấn đề chính, trước hết, phải bảo mật ứng dụng giải thuật nào? Trong trường hợp PGP, dịch vụ dựa vào ba giải thuật: IDEA (mã hóa khóa bí mật), RSA (mã hóa khóa cơng khai) MD5 (Hàm bằm an toàn) Trong phần nghiên cứu toàn bước thực PGP truyền nhận thông điệp thơng báo xử lý thơng điệp Sau tìm hiểu chi tiết bước q trình xử lý Giải thuật: Mã hóa đối xứng a, IDEA (International Data Encryption Algorithm) IDEA đời từ năm 1991 có tên IPES (Improved Proposed Encyption Standard) Đến năm 1992 đổi tên thành International Data Encrytion Algorithm Tác giả Xuejia Lai James Massey Thiết kế loại mã dựa phép cộng modulo (OR), phép cộng modulo 216 phép nhân modulo 216 + (số nguyên tố 65537) Loại mã nhanh phần mềm (mọi chíp xử lý máy tính cá nhân thực phép nhân lệnh đơn) IDEA cấp sáng chế công ty Ascom – Tech AG Thuỵ sĩ cấp Đến chưa có cơng cho phép hủy hồn tồn thuật tốn IDEA Do thuật tốn có độ an toàn cao IDEA loại mã khối sử dụng Chìa khóa 128bit để mã hóa liệu khối 64 bít với vịng lặp Mỗi lần lặp IDEA sử dụng phép toán khác nhau, phép tốn thao tác hai đầu vào 16 bít để sản sinh đầu 16 bít đơn Ba phép tốn là: • Phép XOR theo bít • Phép cộng modulo 216 với đầu vào đầu số ngun khơng dấu 16 bít Hàm lấy hai số nguyên 16 bit làm dầu vào sản sinh tổng 16 bít; bị tràn sang bít thứ 17, bit bị vứt bỏ • Phép nhân số nguyên theo modulo 216+1, với đầu vào đầu số nguyên 16 bit Trừ trường hợp ca khối xem 216 b, 3DES Thuật toán DES (Data Encryption Standard) phủ Mỹ tạo năm 1977 (NIST NSA) dựa công việc mà IBM làm DES thuộc loại mã khối 64 bits với khoá dài 64 bits Thuật toán DES nghiên cứu thời gian dài Thuật toán 3DES cải thiện độ mạnh thuật toán DES việc sử dụng q trình mã hóa giải mã sử dụng khóa Các chuyên gia xác định 3DES an tồn Nhược điểm chậm cách đáng kể so với thuật toán khác Bản thân DES chậm dùng phép hoán vị bit Lý để dùng 3DES nghiên cứu kỹ lưỡng Mã hóa bất đối xứng a, RSA RSA có hai khóa: khóa cơng khai khóa bí mật Mỗi khóa số cố định sử dụng q trình mã hóa giải mã Khóa cơng khai cơng bố rộng rãi cho người dùng để mã hóa Những thơng tin mã hóa khóa cơng khai giải mã khóa bí mật tương ứng Nói cách khác, người mã hóa có người biết khóa cá nhân (bí mật) giải mã  Thủ tục sinh khóa RSA: - Tạo số nguyên tố q va p - Tính n = p*q - Tính Φ(n) = (p-1)*(q-1) - Chọn số nguyên tố e cho < e < Φ(n) gcd(e, Φ(n)) = 1, hay e, Φ(n) số nguyên tố - Chọn số d cho d ≡ e-1 modΦ(n), (d*e)mod Φ(n) = (d modulo nghịch đảo e)  Ta có (n,e) khóa cơng khai , (n,d) khóa riêng  Thủ tục mã hóa RSA: - Thông điệp m chuyển thành số , m < n - Bản mã c = me mod n  Thủ tục giải mã RSA - Bản mã c, c < n - Bản rõ m = cd mod n b, EIGamal/ Diffie Hellman Trong PGP thuật toán Diffie Hellman gọi DH thường dùng để trao đổi khố khơng dùng để ký Vì dùng để ký chữ ký lớn Trong lúc đó, ElGamal dùng để ký bảo mật chữ ký phải dùng hai số kích thước 1024bit RSA cần số có độ dài 1024 bit Đối với DSA cần số có độ dài 160 bit c, DSA DSA phiên đặc biệt EIGamal Đây phiên ElGamal cần lượng lớn tính tốn số có độ dài 1024 bit, số chữ ký chọn tập 2160 phần tử Các nhà thiết kế thành công tạo thủ tục cần 160 bit để thể nhóm phần tử Điều làm cho chữ ký sinh có kích thước nhỏ, cần hai số có độ lớn 160 bit thay phải dùng hai số lớn có độ dài 1024 bit Hàm băm (hash funtion) Hàm băm (hash funtion) hàm tốn h học có tối thiểu thuộc tính : - Nén (compression): h ánh xạ từ chuỗi ban đầu vào chuỗi x có chiều dài sang chuỗi đầu h(x) có chiều dài cố định n bit - Dễ tính tốn (ease of computation): cho trước hàm h đầu vào x , việc tính tốn h(x) dễ dàng Phân loại hàm băm theo khóa sử dụng: - Hàm băm khơng khóa : đầu vào thơng điệp - Hàm băm có khóa : đầu vào thơng điệp khóa Phân loại hàm băm theo tính năng: - Mã phát sửa đổi (MCD – Modification detection codes) - Mã xác thực thông điệp (MAC – Message authentication codes) Các phiên trước PGP sử dụng hàm băm MD5 để băm liệu cịn MD5 thay thuật tốn SHA ĐẶC ĐIỂM CỦA PGP Tính bảo mật, tính tồn vẹn, tính xác thực tính khơng thể chối bỏ Tính bảo mật: đảm bảo tính bí mật thơng tin, cho bên hợp pháp kiểm tra thơng tin xem • PGP đảm bảo tính bảo mật cho tin nhắn , sử dụng mã hóa • PGP đảm bảo tính bảo mật cho tệp , sử dụng mã hóa Tính tồn vẹn: đảm bảo tính hợp pháp đầy đủ thơng điệp, cho thơng tin xác nhận hợp pháp • PGP đảm bảo tính tồn vẹn cho tin nhắn , sử dụng tính ký tin nhắn • PGP đảm bảo tính tồn vẹn cho tệp gói phần mềm , sử dụng chữ ký Tính xác thực: Xác thực người gửi thơng điệp Tính khơng thể chối bỏ: Người gửi khơng thể chối bỏ gửi thơng điệp PGP HOẠT ĐỘNG: PGP kết hợp số tính tốt mật mã khóa thơng thường khóa công khai PGP hệ thống mật mã lai Khi người dùng mã hóa rõ PGP, trước tiên PGP nén rõ Nén liệu giúp tiết kiệm thời gian truyền modem dung lượng ổ đĩa quan trọng tăng cường bảo mật mật mã Hầu hết kỹ thuật phân tích mật mã khai thác mẫu tìm thấy rõ để bẻ khóa mật mã Nén làm giảm mẫu văn rõ ràng, tăng cường đáng kể khả chống phá mã (Các tệp ngắn để nén nén không tốt không nén) Sau đó, PGP tạo khóa phiên, khóa bí mật dùng lần Khóa số ngẫu nhiên tạo từ chuyển động ngẫu nhiên chuột tổ hợp phím bạn nhập Khóa phiên hoạt động với thuật tốn mã hóa thơng thường an tồn, nhanh chóng để mã hóa rõ; kết mã Sau liệu mã hóa, khóa phiên sau mã hóa thành khóa cơng khai người nhận Khóa phiên mã hóa khóa cơng khai truyền với mã đến người nhận (Hình cách mã hóa pgp hoạt động) Giải mã hoạt động ngược lại Bản PGP người nhận sử dụng khóa riêng họ để khơi phục khóa phiên tạm thời, khóa sau PGP sử dụng để giải mã mã mã hóa thơng thường (Hình cách giải mã PGP hoạt động) 10 Sự kết hợp hai phương pháp mã hóa kết hợp tiện lợi mã hóa khóa cơng khai với tốc độ mã hóa thơng thường Mã hóa thông thường nhanh khoảng 000 lần so với mã hóa khóa cơng khai Mã hóa khóa cơng khai đến lượt cung cấp giải pháp cho vấn đề phân phối khóa truyền liệu Được sử dụng nhau, hiệu suất phân phối khóa cải thiện mà khơng có hy sinh bảo mật Chìa khóa Khóa giá trị hoạt động với thuật toán mật mã để tạo mã cụ thể Các phím số thực lớn Kích thước khóa đo bit; số đại diện cho khóa 1024-bit lớn Trong mật mã khóa cơng khai, khóa lớn mã an tồn Tuy nhiên, kích thước khóa cơng khai kích thước khóa bí mật mật mã thơng thường hồn tồn khơng liên quan đến Khóa 80 bit thơng thường có độ bền tương đương với khóa cơng khai 1024 bit Khóa 128 bit thơng thường tương đương với khóa cơng khai 3000 bit Một lần nữa, khóa lớn an tồn, thuật tốn sử dụng cho loại mật mã khác việc so sánh giống táo với cam Mặc dù khóa cơng khai khóa riêng tư có liên quan đến mặt tốn học, khó để lấy khóa riêng tư với khóa cơng khai; nhiên, việc tạo khóa riêng ln thực có đủ thời gian khả tính tốn Điều làm cho quan trọng để chọn chìa khóa có kích thước phù hợp; đủ lớn để bảo mật, đủ nhỏ để áp dụng nhanh chóng Ngồi ra, bạn cần xem xét cố đọc tệp bạn, mức độ xác định họ, thời gian họ có tài nguyên họ Các khóa lớn bảo mật mật mã khoảng thời gian dài Nếu bạn muốn mã hóa cần ẩn nhiều năm, bạn muốn sử dụng khóa lớn Tất nhiên, biết để xác định khóa bạn cách sử dụng máy tính nhanh hơn, hiệu 11 ngày mai? Đã có thời gian khóa đối xứng 56 bit coi an toàn Các khóa lưu trữ dạng mã hóa PGP lưu trữ khóa hai tệp đĩa cứng bạn; cho khóa cơng khai cho khóa cá nhân Các tệp gọi keyrings Khi bạn sử dụng PGP, bạn thường thêm khóa cơng khai người nhận vào khóa cơng khai Khóa cá nhân bạn lưu trữ khóa cá nhân bạn Nếu bạn làm khóa cá nhân mình, bạn khơng thể giải mã thơng tin mã hóa cho khóa khóa cá nhân Chữ ký điện tử Lợi ích mật mã khóa cơng khai cung cấp phương pháp để sử dụng chữ ký số Chữ ký điện tử cho phép người nhận thông tin xác minh tính xác thực nguồn gốc thơng tin xác minh thơng tin ngun vẹn Do đó, chữ ký số khóa cơng khai cung cấp tính xác thực tính tồn vẹn liệu Chữ ký điện tử cung cấp tính khơng từ chối, có nghĩa ngăn người gửi tuyên bố họ không thực gửi thơng tin Các tính tiền mã hóa quyền riêng tư, khơng muốn nói nhiều Chữ ký điện tử có mục đích với chữ ký viết tay Tuy nhiên, chữ ký viết tay dễ bị làm giả Chữ ký điện tử vượt trội chữ ký viết tay chỗ gần bị làm giả, ngồi cịn chứng thực nội dung thơng tin danh tính người ký Một số người có xu hướng sử dụng chữ ký nhiều sử dụng mã hóa Ví dụ: bạn khơng quan tâm liệu có biết bạn vừa gửi $ 1000 vào tài khoản hay khơng, bạn muốn chắn giao dịch viên ngân hàng mà bạn giao dịch Cách mà chữ ký điện tử tạo minh họa Hình bên Thay mã hóa thơng tin khóa cơng khai người khác, bạn mã 12 hóa thơng tin khóa cá nhân Nếu thơng tin giải mã khóa cơng khai bạn, phải có nguồn gốc từ bạn Hàm băm Hệ thống mô tả có số vấn đề Nó chậm tạo khối lượng liệu khổng lồ - gấp đơi kích thước thơng tin gốc Một cải tiến lược đồ việc bổ sung hàm băm chiều quy trình Hàm băm chiều nhận đầu vào có độ dài thay đổi - trường hợp này, thông điệp có độ dài bất kỳ, chí hàng nghìn hàng triệu bit - tạo đầu có độ dài cố định; nói, 160-bit Hàm băm đảm bảo rằng, thông tin thay đổi theo cách - chí bit - giá trị đầu hoàn toàn khác tạo PGP sử dụng hàm băm mạnh mặt mật mã rõ mà người dùng ký Điều tạo mục liệu có độ dài cố định gọi thơng báo tóm tắt (Một lần nữa, thay đổi thơng tin dẫn đến thơng báo hồn tồn khác.) Sau đó, PGP sử dụng thơng báo khóa riêng tư để tạo "chữ ký" PGP truyền chữ ký rõ Khi nhận tin nhắn, người nhận sử 13 dụng PGP để tính tốn lại thơng báo, xác minh chữ ký PGP mã hóa rõ khơng; ký rõ hữu ích số người nhận khơng quan tâm khơng có khả xác minh chữ ký Miễn hàm băm an toàn sử dụng, khơng có cách để lấy chữ ký từ tài liệu đính kèm tài liệu vào tài liệu khác thay đổi thơng báo ký theo cách Một thay đổi nhỏ tài liệu ký khiến q trình xác minh chữ ký điện tử khơng thành cơng Chữ ký điện tử đóng vai trị quan trọng việc xác thực xác thực khóa PGP người dùng khác Chứng kỹ thuật số Một vấn đề với hệ thống mật mã khóa công khai người dùng phải thường xuyên cảnh giác để đảm bảo họ mã hóa cho khóa người Trong mơi trường an tồn để tự trao đổi khóa thơng qua máy chủ công cộng, công man-in-the-middle mối đe dọa tiềm tàng Trong kiểu công này, đăng khóa giả với tên ID người dùng người nhận dự định người dùng Dữ liệu mã hóa - 14 bị chặn - chủ nhân thực khóa khơng có thật nằm tay kẻ xấu Trong mơi trường khóa cơng khai, điều quan trọng bạn phải đảm bảo khóa cơng khai mà bạn mã hóa liệu thực tế khóa cơng khai người nhận dự định giả mạo Bạn mã hóa khóa giao cho bạn cách vật lý Nhưng giả sử bạn cần trao đổi thông tin với người bạn chưa gặp mặt; Làm bạn nói bạn có chìa khóa xác? Giấy chứng nhận kỹ thuật số, Certs, đơn giản hóa nhiệm vụ thiết lập cho dù khóa công khai thực thuộc chủ sở hữu mục đích Chứng dạng chứng Ví dụ lái xe, thẻ an sinh xã hội bạn giấy khai sinh bạn Mỗi người số có số thơng tin nhận dạng bạn số ủy quyền cho biết xác nhận danh tính bạn Một số giấy chứng nhận, chẳng hạn hộ chiếu bạn, đủ quan trọng để xác nhận danh tính bạn mà bạn khơng muốn chúng, sợ sử dụng chúng để mạo danh bạn Chứng số liệu có chức giống chứng vật lý Chứng kỹ thuật số thông tin kèm với khóa cơng khai người giúp người khác xác minh khóa hãng hợp lệ Chứng kỹ thuật số sử dụng để ngăn cản nỗ lực thay khóa người cho khóa người khác Chứng kỹ thuật số bao gồm ba yếu tố: *Khóa cơng khai *Thơng tin chứng (Thơng tin "danh tính" người dùng, chẳng hạn tên, ID người dùng, v.v.) *Một nhiều chữ ký điện tử Mục đích chữ ký điện tử chứng để thông báo thông tin chứng số cá nhân tổ chức khác chứng thực Chữ ký điện 15 tử khơng chứng thực tồn tính xác thực chứng chỉ; bảo đảm thơng tin nhận dạng ký với bị ràng buộc với khóa cơng khai Do đó, chứng khóa cơng khai với hai dạng ID đính kèm, cộng với dấu phê duyệt từ số cá nhân đáng tin cậy khác YẾU ĐIỂM CỦA PGP: Mấu chốt lớn mã hóa PGP khơng thân thiện với người dùng Điều thay đổi nhờ giải pháp có sẵn mà PGP sớm áp dụng Nhưng việc sử dụng PGP tiết kiệm thời gian cơng việc đáng kể cho lịch trình hàng ngày bạn Ngoài ra, người sử dụng hệ thống cần phải biết cách thức hoạt động nó, phịng trường hợp họ đưa lỗ hổng bảo mật sử dụng khơng cách Điều có nghĩa doanh nghiệp cân nhắc chuyển sang PGP cần phải đào tạo Vì lý đó, nhiều doanh nghiệp muốn xem xét lựa chọn thay Ví dụ, có ứng dụng nhắn tin mã hóa Signal, cung cấp mã hóa dễ sử dụng Về mặt lưu trữ data, ẩn danh giải pháp thay tốt cho mã hóa cách sử dụng tài nguyên hiệu Cuối cùng, bạn nên biết PGP mã hóa tin nhắn bạn, khơng làm cho bạn ẩn danh Khơng giống trình duyệt ẩn danh sử dụng proxy server làm việc thơng qua VPN để ẩn vị trí thực bạn Email gửi qua PGP truy tìm từ người gửi người nhận Các dịng tiêu đề chúng khơng mã hóa, bạn không nên đưa thông tin nhạy cảm vào Ứng dụng PGP • PGP thiết kế chủ yếu để mã hóa lưu lượng email Tuy nhiên, PGP sử dụng để bảo vệ loạt thông tin liên lạc dựa 16 văn khác, bao gồm SMS, thư mục phân vùng ổ đĩa PGP sử dụng cách để bảo mật chứng kỹ thuật số • PGP hoạt động số tiêu chuẩn khác nhau, phổ biến chuẩn OpenPGP mã nguồn mở OpenPGP sử dụng rộng rãi để bảo mật ứng dụng desktop Outlook Microsoft Apple Mail máy Mac Ngoài cịn có plugin Google phát triển cho phép sử dụng tiêu chuẩn trình duyệt Chrome • Một ứng dụng phổ biến PGP bảo mật email PGP chuyển email mà bảo vệ thành chuỗi ký tự đọc (văn mã hóa) giải mã có khóa giải mã tương ứng Trên thực tế, việc bảo mật tin nhắn văn sử dụng chế tương tự, có số ứng dụng phần mềm cho phép PGP triển khai bên Ứng dụng khác, nghĩa bổ sung thêm hệ thống mã hóa vào dịch vụ nhắn tin khơng bảo mật • Mặc dù PGP chủ yếu sử dụng để bảo mật thông tin liên lạc mạng internet, sử dụng để mã hóa thiết bị riêng lẻ Trong trường hợp này, PGP sử dụng cho phân vùng đĩa máy tính thiết bị di động Bằng cách mã hóa đĩa cứng, người dùng phải cung cấp mật hệ thống khởi động Tổng kết nội dung chính: 17 • • • • • • • Giới thiệu PGP Kiến trúc PGP Giải thuật PGP Đặc điểm PGP Cách PGP hoạt động Yếu điểm PGP Ứng dụng PGP Nguồn tài liệu: o Được trích từ chương tài liệu Giới thiệu Mật mã tài liệu PGP o https://quantrimang.com/pretty-good-privacy-pgp-la-gi-162378 o https://cybersecurity.att.com/blogs/security-essentials/explain-pgpencryption-an-operational-introduction o Slide giảng thầy 18