Đang tải... (xem toàn văn)
CÁC GIAO THỨC ĐẢM BẢO AN NINH CHO TẦNG ỨNG DỤNG
Bài tập lớn môn: An Toàn Thông Tin LỜI NÓI ĐẦU Không phải nói thì ai cũng biết, chúng ta đang sống trong một thời đại hiện đại, thời đại của khoa học kỹ thuật, của công nghệ thông tin. Mọi giao dịch và nhu cầu trao đổi thông tin, dữ liệu qua mạng máy tính ngày càng lớn. Vấn đề đặt ra là làm sao đảm bảo an toàn mọi mặt cho người dùng? Trả lời câu hỏi này, người ta đã dùng rất nhiều biện pháp khác nhau, bảo vệ từ khi tạo thông điệp,trong quá trình truyền đi qua mạng, khi người dùng nhận thông điệp để có thể bảo vệ tối đa quyền lợi của người sử dụng. Trong bài tiểu luận này em đã trình bày các giao thức đảm bảo an ninh tầng ứng dụng mà em đã nghiên cứu như giao thức xác thực ứng dụng Kerberos, giao thức xác thực X.509, giao thức đảm bảo an ninh thư điện tử PGP, S/MIME và giao thức đảm bảo giao dịch trong thương mại điện tử SET. Em xin chân thành cảm ơn! Sinh viên thực hiện : Nguyễn Hải Điềm Giảng viên hướng dẫn : Nguyễn Duy Tân SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 1 Bài tập lớn môn: An Toàn Thông Tin CÁC GIAO THỨC ĐẢM BẢO AN NINH CHO TẦNG ỨNG DỤNG I)Giao thức PGP(Pretty Good Privacy) 1)Giới thiệu về giao thức + Giao thức này được Do Phil Zimmermann phát triển vào năm 1991. +Chương trình miễn phí, chạy trên nhiều môi trường khác nhau (phần cứng, hệ điều hành) -Có phiên bản thương mại nếu cần hỗ trợ kỹ thuật +Dựa trên các giải thuật mật mã hoá an toàn nhất +Chủ yếu ứng dụng cho thư điện tử và file +Độc lập với các tổ chức chính phủ +Bao gồm 5 dịch vụ : xác thực, bảo mật, nén, tương thích thư điện tử, phân và ghép -Ba dịch vụ sau trong suốt đối với người dùng 2)Cách hoạt động của PGP a) Xác thực của PGP +Thao tác Người gửi tạo mẩu tin, sử dụng SHA-1 để sinh Hash 160 bit của mẩu tin, ký hash vói RSA sử dụng khoá riêng của người gửi và đính kèm vào mẩu tin. Người nhận sử dụng RSA với khoá công khai của người gửi để giải mã và khôi phục bản hash .Người nhận kiểm tra mẩu tin nhận sử dụng bản hash của nó và so sánh với bản hash đã được giải mã. SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 2 Bài tập lớn môn: An Toàn Thông Tin + Mô hình b) Bảo mật của PGP + Thao tác Người gửi tạo mẩu tin và số ngẫu nhiên 128 bit như khoá phiên cho nó, mã hoá mẩu tin sử dụng CAST-128/IDEA/3DES trong chế độ CBC với khóa phiên đó. Khoá phiên được mã sử dụng RSA với khoá công khai người nhận và đính kèm với mẩu tin. Người nhận sử dụng RSA với khoá riêng để giải mã và khôi phục khoá phiên. Khoá phiên được sử dụng và để giải mã mẩu tin. SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 3 Nguồn A Đích B So sánh M = Thông báo gốc EP = Mã hóa khóa công khai H = Hàm băm DP = Giải mã khóa công khai ║ = Ghép KR a = Khóa riêng của A Z = Nén KU a = Khóa công khai của A Z -1 = Cởi nén Bài tập lớn môn: An Toàn Thông Tin + Mô hình c) Xác thực và bảo mật của PGP SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân Nguồn A Đích B EC = Mã hóa đối xứng DC = Giải mã đối xứng K s = Khóa phiên Nguồn A Đích B 4 Bài tập lớn môn: An Toàn Thông Tin d) Nén của PGP Theo mặc định PGP nén mẩu tin sau khi ký nhưng trước khi mã.Như vậy cần lưu mẩu tin chưa nén và chữ ký để kiểm chứng về sau. Vì rằng nén là không duy nhất . Ở đây sử dụng thuật toán nén ZIP. PGP nén thông báo sử dụng giải thuật ZIP Ký trước khi nén Thuận tiện lưu trữ và kiểm tra, nếu ký sau khi nén thì o Cần lưu phiên bản nén với chữ ký, hoặc o Cần nén lại thông báo mỗi lần muốn kiểm tra Các phiên bản khác nhau của giải thuật nén không cho kết quả duy nhất o Mỗi phiên bản cài đặt có tốc độ và tỷ lệ nén khác nhau o Nếu ký sau khi nén thì các chương trình PGP cần sử dụng cùng một phiên bản của giải thuật nén Mã hóa sau khi nén Ít dữ liệu sẽ khiến việc mã hóa nhanh hơn Thông báo nén khó phá mã hơn thông báo thô e) Tương thích thư điện tử của PGP PGP bao giờ cũng phải gửi dữ liệu nhị phân Nhiều hệ thống thư điện tử chỉ chấp nhận văn bản ASCII (các ký tự đọc được) Thư điện tử vốn chỉ chứa văn bản đọc được PGP dùng giải thuật cơ số 64 chuyển đổi dữ liệu nhị phân sang các ký tự ASCII đọc được SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 5 Bài tập lớn môn: An Toàn Thông Tin Mỗi 3 byte nhị phân chuyển thành 4 ký tự đọc được Hiệu ứng phụ của việc chuyển đổi là kích thước thông báo tăng lên 33% Nhưng có thao tác nén bù lại Tóm lại cần có khoá phiên cho mỗi mẩu tin ,có kích thước khác nhau :56 bit –DES, 128 bit CAST hoặc IDEA, 168 bit Triple-DES, được sinh ra sử dụng dữ liệu đầu vào ngẫu nhiên lấy từ sử dụng trước và thời gian gõ bàn phím của người sử dụng SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 6 Bài tập lớn môn: An Toàn Thông Tin Bảng chuyển đổi cơ số 64 f) Phân và ghép của PGP Các giao thức thư điện tử thường hạn chế độ dài tối đa của thông báo Ví dụ thường là 50 KB PGP phân thông báo quá lớn thành nhiều thông báo đủ nhỏ Việc phân đoạn thông báo thực hiện sau tất cả các công đoạn khác Bên nhận sẽ ghép các thông báo nhỏ trước khi thực hiện các công đoạn khác g) Danh tính khoá của PGP SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 7 Bài tập lớn môn: An Toàn Thông Tin Với một thông báo nhất định cần xác định sử dụng khóa nào trong nhiều khóa công khai / khóa riêng Có thể gửi khóa công khai cùng với thông báo nhưng lãng phí đường truyền không cần thiết Gán cho mỗi khóa một danh tính riêng Gồm 64 bit bên phải của khóa Xác suất cao là mỗi khóa có một danh tính duy nhất Sử dụng danh tính khóa trong chữ ký h) Khoá riêng và khoá công khai của PGP Vì có nhiều khoá riêng và khoá công khai có thể sử dụng, nên cần phải xác định rõ cái nào được dùng để mã hoá khoá khoá phiên trong mẩu tin. Có thể gửi khoá công khai đầy đủ với từng mẩu tin. Nhưng điều đó là không đủ, vì cần phải nêu rõ danh tính của người gửi. Do đó có thể sử dụng định danh khoá để xác định người gửi. Có ít nhất 64 bit có ý nghĩa của khoá và là duy nhất, có thể sử dụng định danh của khoá trong chữ ký. SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 8 Bài tập lớn môn: An Toàn Thông Tin i) Các chùm khoá của PGP Mỗi người sử dụng PGP có một cặp chùm khoá. Chùm khoá công khai chứa mọi khoá công khai của người sử dụng PGP khác được người đó biết và được đánh số bằng định danh khoá (ID key). Chùm khoá riêng chứa các cặp khoá công khai/riêng của người đó được đánh số bởi định danh khoá và mã SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 9 Bài tập lớn môn: An Toàn Thông Tin của khoá lấy từ giai đoạn duyệt Hash. An toàn của khoá công khai như vậy phụ thuộc vào độ an toàn của giai đoạn duyệt. Cấu trúc khoá riêng và khoá công khai của PGP j) Sinh mẩu tin PGP SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 10 [...]... thể thẩm định cả hai chiều của giao dịch thông qua việc dùng các “chứng chỉ” (certificate) SSL là giao thức tầng (Application layer), bao gồm 4 giao thức con sau: • Giao thức SSL Handshake • Giao thức SSL Change Cipher Spec • Giao thức SSL Alert • SSL Record Layer Vị trí của các giao thức trên, tương ứng với mô hình TCP/IP được minh hoạ theo biểu đồ sau: Biểu đồ 1 Các giao thức con của SSL trong mô hình... chứng thực Chứng thực phải được ký bởi CA tin cậy III) Giao thức SET (Secure Electronic Transactions) 1) Giới thiệu Phát triển năm 1996 bởi Mastercard, Visa, … Đặc tả mở về mã hóa và bảo mật nhằm bảo vệ các giao dịch thẻ tín dụng trên Internet không phải hệ thống trả tiền điện tử Là một tập hợp các định dạng & giao thức đảm bảo truyền tin an toàn giữa các bên đảm bảo tính tin cậy sử dụng. .. ít nhất năm giao thức khác hoặc ít hơn hoặc nhiều hơn đóng vai trò quan trọng trong an ninh truy cập World Wide Web Cụ thể: SSL v2.0 Phiên bản này được tạo ra bởi Netscape Communications năm 1994 Mục đích chính của giao thức này là cung cấp an toàn cho các giao dịch trên World Wide Web Thật không may, nhanh chóng sau đó người ta thấy con số yếu kém về an toàn trong phiên bản đầu của giao thức SSL này... đầu bằng việc trao đổi các tham số mã hoá và sau đó xác nhận các server một cách tuỳ ý (dùng gia thức SSL Handshake) Nếu “bắt tay” (Handshake) thành công, cả hai chiều đều chấp nhận bộ mã hoá chung và các khoá mã hoá, thì dữ liệu ở tầng ứng dụng (thông thường dùng HTTP, nhưng cũng có thể là một giao thức khác) có SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 26 Bài tập lớn môn: An Toàn Thông Tin thể được... SSL nằm trong tầng ứng dụng của giao thức TCP/IP Do đặc điểm này, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ TCP/IP mà không cần phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 24 Bài tập lớn môn: An Toàn Thông Tin TCP/IP Điều này mang lại cho SSL sự cải tiến mạnh mẽ so với các giao thức khác như IPSec (IP Security Protocol) Vì giao thức này đòi... hoá được giữ lại Các thông báo được gửi đi Bộ mã hoá cũng có thể được thay đổi Tuy nhiên, bất chấp các đặc điểm kĩ thuật đó, cách thức phổ biến nhất của tiến trình này làm việc thực sự như trên 3) Mở rộng thêm về SSL, mặc dù SSL là giao thức được biết đến nhiều nhất và phổ biến nhất, nhưng nó không phải là giao thức duy nhất dùng cho mục đích an toàn và giao vận trong web Cũng khá quan trọng để biết... đăng ký chứng nhận mẩu tin 5) Xử lý chứng thực của S/MIME S/MIME sử dụng các chứng thực khóa công khai theo X.509 v3 Phương thức quản lý khóa lai ghép giữa cấu trúc phân cấp CA theo đúng X.509 và mạng lưới tin cậy của PGP SVTH: Nguyễn Hải Điềm GVHD: Nguyễn Duy Tân 13 Bài tập lớn môn: An Toàn Thông Tin Mỗi người dùng có một danh sách các khóa của bản thân, danh sách các khóa tin cậy và danh sách... Tân 23 Bài tập lớn môn: An Toàn Thông Tin SSL là giao thức được biết đến nhiều nhất về khả năng bảo mật và độ tin cậy trong giao dịch khách - chủ (client-server) trên mạng internet Bản thân SSL được dựa trên các khái niệm khá đơn giản Nó sắp xếp các thuật toán mã hoá và khoá giữa 2 lần gửi - nhận của một giao dịch Sau đó thiết lập một đưòng dẫn ảo mã hoá thông qua các giao thức khác (như HTTP) SSL...Bài tập lớn môn: An Toàn Thông Tin Cách PGP gửi thông tin từ A sang B k ) Quản lý khoá của PGP Thay vì dựa trên các CA (cơ quan chứng thực), đối vởi PGP mỗi người dùng là một CA Có thể chứng thực cho những người dùng quen biết Tạo nên một mạng lưới tin cậy Tin các khóa đã được chứng thực Mỗi khóa có một chỉ số tin cậy Người dùng có thể thu... mô hình đảm bảo an toàn dữ liệu khi truyền trên mạng và được sử dụng để tạo chứng nhận điện tử trong các giao dịch điện tử qua mạng Internet Ví dụ A gửi đến tổ chức Certificate Authority yêu cầu cấp chứng nhận điện tử kèm theo khóa công khai của họ Tổ chức CA sẽ “ký nhận” vào đó và cấp digital certificate cho A Khách hàng này sẽ thông báo certificate của mình trên mạng Giả sử có B muốn gửi cho A một . tập lớn môn: An Toàn Thông Tin CÁC GIAO THỨC ĐẢM BẢO AN NINH CHO TẦNG ỨNG DỤNG I )Giao thức PGP(Pretty Good Privacy) 1)Giới thiệu về giao thức + Giao thức này được Do Phil Zimmermann phát triển. có thể bảo vệ tối đa quyền lợi của người sử dụng. Trong bài tiểu luận này em đã trình bày các giao thức đảm bảo an ninh tầng ứng dụng mà em đã nghiên cứu như giao thức xác thực ứng dụng Kerberos,. cứu như giao thức xác thực ứng dụng Kerberos, giao thức xác thực X.509, giao thức đảm bảo an ninh thư điện tử PGP, S/MIME và giao thức đảm bảo giao dịch trong thương mại điện tử SET. Em xin