Bài giảng Nhập môn An toàn thông tin - Chương IV: Tin cậy hai bên

Nhập môn An toàn thông tin

PGS. Nguyễn Linh Giang

Bộ môn Truyền thông và

Mạng máy tính

Nội dung

I.

Nhập môn An toàn thông tin

II.

Đảm bảo tính mật

I.

Các hệ mật khóa đối xứng (mã hóa đối xứng)

Các hệ mật khóa công khai ( mã hóa bất đối xứng )

Bài toán xác thực

II.

III.

IV.

I.

Cơ sở bài toán xác thực

Xác thực thông điệp

Chữ ký số và các giao thức xác thực

Các cơ chế xác thực trong các hệ phân tán

An toàn an ninh hệ thống

II.

III.

IV.

I.

Phát hiện và ngăn chặn xâm nhập ( IDS, IPS )

II.

Lỗ hổng hệ thống

2

Nội dung

l Tài liệu môn học:

– W. Stallings “Networks and Internetwork security”

– W. Stallings “Cryptography and network security”

– Introduction to Cryptography – PGP

– D. Stinson – Cryptography: Theory and Practice

3

Chương IV. Tin cậy hai bên

l Phân cấp khóa

l Quản trị và phân phối khóa trong sơ đồ mã

hóa đối xứng

l Quản trị khóa trong sơ đồ mã hóa công khai

l Chia sẻ khóa phiên bí mật bằng hệ mã hóa

công khai

l Đảm bảo tính mật

4

Quản trị và phân phối khóa trong mã

hóa đối xứng

l Đặt vấn đề:

– Trong kỹ thuật mật mã truyền thống, hai phía tham gia

vào truyền tin phải chia sẻ khoá mật Þ khoá phải

được đảm bảo bí mật : phải duy trì được kênh mật

phân phối khóa.

– Khóa phải được sử dụng một lần: Khoá phải được

thường xuyên thay đổi.

– Mức độ an toàn của bất kỳ hệ mật sẽ phụ thuộc vào kỹ

thuật phân phối khoá.

5

Quản trị và phân phối khóa trong mã

hóa đối xứng

l Một số kỹ thuật phân phối khoá.

– Phân phối khóa không tập trung: Khoá được A lựa

chọn và phân phối vật lý tới B.

– Phân phối khóa tập trung: Người thứ ba C lựa chọn

khoá và phân phối vật lý tới A và B.

– Nhận xét:

l Hai kỹ thuật này khá cồng kềnh khi các bên tham gia vào

trao đổi thông tin với số lượng lớn.

6

Quản trị và phân phối khóa trong mã

hóa đối xứng

– Ít nhất có hai cấp khoá :

l Việc giao tiếp giữa hai tram đầu cuối sẽ

Bảo vệ bằng

được mã hoá bằng một khoá tạm thời gọi

là khoá phiên.

Dữ liệu

Sử dụng

mật mã

phân

cấp khóa

– Khoá phiên sẽ được sử dụng trong

thời gian một kết nối lôgic như trong

mạng ảo hoặc liên kết vận chuyển,

sau đó sẽ được loại bỏ.

Khóa

phiên

Bảo vệ bằng

mật mã

Dữ liệu

được mã

hóa

– Khoá phiên được truyền dưới dạng

mã hoá bằng mã chính ( master key ).

Khoá chính này được chia sẻ giữa

KDC và trạm đầu cuối hoặc người sử

dụng.

Bảo vệ

không bằng

mật mã

Khóa

chính

Dữ liệu

7

Quản trị và phân phối khóa trong mã

hóa đối xứng

l Kịch bản quá trình phân phối khóa.

– Giả thiết: mội người sử dụng cùng chia sẻ một khóa mật chính

với trung tâm phân phối khóa ( KDC ).

– Tiền đề:

l Người sử dụng A muốn thiết lập kết nối lôgic với người sử dụng

B.

l Hai phía trao đổi thông tin yêu cầu khóa phiên sử dụng một lần

để bảo mật dữ liệu truyền qua kết nối.

l Phía A có khóa mật K_MA, khóa này chỉ có A và KDC biết.

l Phía B có khóa mật K_MB, khóa này chỉ có B và KDC biết.

8

Quản trị và phân phối khóa trong

mã hóa đối xứng

Kịch bản phân

l Yêu cầu:

Trung tâm

phân phối

khóa KDC

phối khóa sử

dụng sơ đồ mã

hóa đối xứng

(1)Yêu cầu || N₁

– A->KDC: KDC: xác thực

A.

l [ID_A; E_KMA[Yêu cầu cấp

khóa; ID_B]; N₁]

(2)E_Ka[K_s|| Yêu cầu || N₁]

(2')EKa[Ks || Yêu cầu || N1||EKb[Ks ||ID_A, Yêu cầu || N1]]

Bên khởi

tạo liên kết

A

(3)EKb[Ks ||ID_A, Yêu cầu || N1]

Bên nhận

liên kết B

Quản trị và phân phối khóa trong mã

hóa đối xứng

Kịch bản phân

phối khóa sử

dụng sơ đồ mã

hóa đối xứng

l Vấn đề xác thực:

Trung tâm

phân phối

khóa KDC

(1)Yêu cầu || N₁

– B cần xác thực:

l Nguồn gốc của E_kb[

K_S|| IDA ]: bằng

khóa Kb.

(2)E_Ka[Ks || Yêu cầu || N₁|| E_Kb(Ks, ID_A||N₁)]

(3) E_Kb[K_s|| ID_A||N₁]

l Tính tòan vẹn của

E_kb[ K_S|| IDA ].

l Xác thực A.

Bên khởi

tạo liên kết

A

Bên nhận

liên kết B

Các bước phân phối khóa

– A cần xác thực:

l Xác thực B.

(4) E_Ks[N₁||N₂]

(5) E_Ks[ f(N₂)]

l Xác thực phiên làm

Các bước

xác thực

việc với B.

10

Quản trị và phân phối khóa trong mã

hóa đối xứng

Kịch bản phân phối khóa không tập trung

(1)Yêu cầu || N₁

Bên khởi

Bên nhận

tạo liên kết

liên kết B

A

(2)E_MKm[K_s|| Yêu cầu || ID_B|| f(N₁) || N₂)]

(3) E_Ks[ f(N₂)]

11

Quản lý khóa trong sơ đồ mật mã khóa

công khai

l Các mô hình quản lý khóa

– Bài toán phân phối khóa: tập trung xây dựng kênh

mật phân phối khóa phiên bí mật.

– Hai hướng sử dụng mật mã khóa công khai:

l Phân phối khóa công khai;

l Sử dụng mã hóa khóa công khai để phân phối khóa

phiên

12

Phân phối khóa công khai

l Các mô hình

– Công bố công khai

– Công bố thư mục công khai

– Trung tâm ủy quyền khóa công khai

– Chứng thư khóa công khai

13

Phân phối khóa công khai

l Công bố công khai

– Các bên tham gia trao đổi thông tin tự công bố

khóa công khai;

– Điểm mạnh: đơn giản.

– Điểm yếu:

l Một người thứ 3 có thể giả mạo khóa công khai;

– Bên C giả mạo bên nhận tin B, gửi khóa công khai của

mình K_PCcho A;

– A mã hóa các bản tin gửi cho B bằng khóa K_PCcủa C;

– B không đọc được bản tin A gửi

– C có thể đọc được bản tin A gửi B

14

Phân phối khóa công khai

l Quản lý thư mục khóa công khai

– Có bên thứ ba C được ủy quyền quản lý khóa công khai;

– Bên thứ ba C tạo cho mỗi bên tham gia trao đổi thông tin một

thư mục lưu trữ khóa;

– Các bên đăng ký và gửi khóa công khai tới C. Quá trình đăng

ký có thể thực hiện trên kênh bảo mật.

– Các bên có thể thay thế khóa công khai theo nhu cầu

l Khi đã sử dụng khóa nhiều lần để mã hóa lượng dữ liệu lớn;

l Khi khóa riêng cần phải thay thế

15

Phân phối khóa công khai

– Bên C định kỳ công bố toàn bộ thư mục khóa hoặc

cập nhật;

– Các bên có thể truy cập thư mục khóa qua các kênh

bảo mật.

l Vấn đề xác thực đối với bên thứ ba C.

– Điểm yếu:

l Nếu thám mã biết được khóa riêng của C

– Toàn bộ các khóa công khai được lưu trữ có thể bị giả mạo.

– Có thể nghe trộm các thông điệp do các bên trao đổi .

16

Phân phối khóa công khai

l Ủy quyền khóa

Trung tâm

quản lý

khóa PKA

Kịch bản quản lý

khóa công khai

(1)Yêu cầu

khóa K_PB|| T₁

công khai

– Bên thứ ba được

(5)E_KRpka[K_PA|| Yêu cầu || T₂]

ủy quyền PKA

tham gia lưu giữ

khóa;

(4)Yêu cầu khóa

K_PA|| T₂

(2)E_KRpka[K_PB|| Yêu cầu || T₁]

(3) E_Kpb[ID_A||N₁]

– Các bên A, B biết

khóa công khai

của PKA;

Bên khởi

tạo A

Bên nhận

B

(6) E_KPA[N₁||N₂]

(7) E_KPB[ f(N₂)]

Các bước

xác thực

17

Phân phối khóa công khai

l Chứng chỉ khóa công khai

– Trung tâm cấp phát chứng thư số CA;

– Chỉ cần xác nhận khóa công khai một lần;

– Không cần truy cập CA mỗi khi cần khóa công khai;

– Khóa công khai sẽ do các bên tự quản lý;

– Sơ đồ hoạt động:

l Các bên gửi khóa công khai tới CA để chứng thực;

l Nhận chứng thư số từ CA kèm thời gian hiệu lực;

l Các bên xuất trình chứng thư số trong các giao dịch;

18

Phân phối khóa công khai

Trung tâm

Kịch bản cấp phát

chứng thư số

(1)Yêu cầu cấp phát

chứng thư số || K_PA

cấp phát

chứng chỉ

số CA

(1)Yêu cầu cấp phát

chứng thư số || K_PB

(2)Chứng thư số A

(2)Chứng thư số B

(3) Chứng thư số A

Chứng thư số:

- Số serial của chứng thư số;

- Thông tin riêng của người sở hữu;

- Khóa công khai của người sở hữu;

- Chứng thực của CA: mã hóa bằng

khóa riêng của CA – KR_CA

Bên A

Bên B

- Thời hạn hiệu lực của chứng thư số

- Đảm bảo tính toàn vẹn của chứng

thư số

- Thuật toán mật mã

(4) Chứng thư số B

Phân phối khóa mật đối xứng sử dụng

mã hóa công khai

l Sơ đồ đơn giản:

– A gửi B: K_PA|| ID_A

– B tạo khóa phiên K_svà gửi lại A: E_KPA(K_S)

l Sơ đồ kèm xác thực

– A gửi B: E_KPB(N₁||ID_A)

– B gửi A: E_KPA(N₁||N₂)

– A gửi B: E_KPB(N₂)

– A gửi B: E_KPB(E_KRA(K_S))

20

Bài giảng Nhập môn An toàn thông tin - Chương IV: Tin cậy hai bên - Nguyễn Linh Giang