- Nguyễn Thanh Phương AN NINH AN TOÀN THÔNG TIN - MẬT MÃ THÔNG TIN LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC TS. - Đặng Văn Chuyết Hà Nội – 2004 1 MỤC LỤC MỤC LỤC 1 DANH MỤC CÁC CHỮ VIẾT TẮT 3 DANH MỤC CÁC BẢNG 4 DANH MỤC CÁC HÌNH VẼ 5 MỞ ĐẦU 7 CHƯƠNG 1 – TỔNG QUAN AN NINH THÔNG TIN 9 CHO GIAO THỨC TCP/IP 9 1.1 Các vấn đề an ninh thông tin và phương án giải quyết. - 9 1.1.1 Các kiểu vi phạm thường xảy ra trên mạng 9 1.1.2 Các giải pháp cho các vấn đề an ninh thông tin mạng TCP/IP 9 1.2 Thực thi các giải pháp an ninh thông tin mạng. - 11 1.3 Các kỹ thuật an ninh thông tin cho TCP/IP. - 12 1.3.1 Mật mã (Cryptography) 12 1.3.2 Network Address Translation (NAT) 12 1.3.3 IPSec 14 1.3.4 Secure Shell (SSH) 15 1.3.5 Secure Socket Layer (SSL) 16 1.3.6 Secure Electronic Transaction (SET) 17 1.3.7 Transport Layer Security 18 1.3.8 Virtual private networks (VPN) 19 1.4 An ninh thông tin cho giao thức IPv6. - 19 1.4.1 Giới thiệu 19 1.4.2 IPv6 Authentication Header và Encapsulating Security Payload 20 1.4.3 IPv6 và NAT 25 CHƯƠNG 2 – MẬT MÃ THÔNG TIN (CRYPTOGRAPHY) 25 2.1 Giới thiệu. - 26 2.1.1 Các thuật ngữ 26 2.1.2 Định nghĩa 27 2.1.3 Mục tiêu của mật mã 27 2.1.4 Phân loại các kỹ thuật mật mã 28 2.2 Các kỹ thuật mật mã thông tin phổ biến. - 33 2.4 Mã hoá bất đối xứng (Asymmetric encryption. - 35 2.5.1 Các ký hiệu 35 2.5.2 Mã hoá 37 2.5.3 Giải mã 38 2.5.4 Thuật toán 3DES (Triple-DES) 41 2.6 RSA. - 53 CHƯƠNG 3 - ĐÁNH GIÁ, SO SÁNH 54 CÁC KỸ THUẬT MẬT MÃ THÔNG TIN 54 3.1 Giới thiệu CRYPTREC. - Các vấn đề an ninh thông tin của giao thức TCP/IP và cách giải quyết. - Bảng 4.1 Các kết quả đánh giá an ninh thông tin của Triple DES. - Các giải pháp an ninh thông tin cho các tầng của TCP/IP. - Phân loại các kỹ thuật mật mã. - Mã hoá và giải mã có khoá. - Quá trình mã hoá của DES. - Mã hoá và giải mã 3DES. - Mật mã DES 3 vòng. - Mã hoá Stream Cipher cải tiến. - Một trong những kỹ thuật an ninh thông tin quan trọng, là nền tảng cho các kỹ thuật khác chính là mật mã thông tin (Cryptography). - Việc đánh giá các kỹ thuật mật mã sẽ giúp cho người thiết kế trong quá trình thiết lập chức năng bảo mật thông tin cho một hệ thống thông tin có thể xuất phát từ thực trạng nhu cầu của hệ thống để lựa chọn được các kỹ thuật phù hợp. - Nghiên cứu tổng quan về an ninh an toàn thông tin, an ninh thông tin cho mạng TCP/IP, an ninh thông tin cho giao thức IPv6. - Nghiên cứu các kỹ thuật mật mã thông tin cơ bản. - Đánh giá, so sánh một số kỹ thuật mật mã thông tin. - Trong phần trình bày Chương 1 sẽ trình bày các nghiên cứu tổng quan về các kỹ thuật an ninh thông tin cho giao thức TCP/IP. - Toàn bộ Chương 2 sẽ được dành trọn để trình bày các khái niệm tổng quan Mật mã thông tin và một số kỹ thuật mật mã thông tin tiêu biểu. - 9 CHƯƠNG 1 – TỔNG QUAN AN NINH THÔNG TIN CHO GIAO THỨC TCP/IP Trong Chương 1 sẽ thảo luận các vấn đề liên quan tới mạng TCP/IP và trình bày các giải pháp tổng thể nhằm ngăn chặn các vi phạm an ninh thông tin. - Lĩnh vực về an ninh mạng nói chung và an ninh cho giao thức TCP/IP nói riêng là rất rộng lớn vì vậy trong phần này chỉ đề cập trọng tâm tới các vi phạm an ninh thông tin phổ biến và các kỹ thuật giải quyết. - 1.1 Các vấn đề an ninh thông tin và phương án giải quyết Các kiểu vi phạm thường xảy ra trên mạng - Nghe ngóng đường truyền: truy nhập tới dữ liệu và các mật khẩu. - Giả mạo thông điệp: truy nhập thông tin và làm thay đổi nội dung trong quá trình truyền. - Đoán mật khẩu: để truy nhập tới các thông tin và dịch vụ bị từ chối truy nhập. - Đoán khoá: truy nhập dữ liệu mã hoá và mật khẩu. - Các giải pháp cho các vấn đề an ninh thông tin mạng TCP/IP - Mã hoá: bảo vệ dữ liệu và mật khẩu. - Mật khẩu sử dụng một lần và kỹ thuật bắt tay sử dụng số ngẫu nhiên: dùng để xác thực lẫn nhau khi trao đổi thông tin trên mạng. - Bảng 1.1 liệt kê các vấn đề thường gặp của an ninh thông tin và các giải pháp tương ứng để giải quyết. - Vấn đề đặt ra Cách giải quyết Làm thế nào để ngăn chặn nghe lén đường truyền, đánh cắp bản tin? Mã hoá thông điệp, sử dụng phương pháp mật mã khoá bí mật. - Làm thế nào để phân phối khoá nhưng vẫn đảm bảo yếu tố an toàn? Sử dụng một kỹ thuật mã hoá khác (khoá công khai/bí mật). - Các vấn đề an ninh thông tin của giao thức TCP/IP và cách giải quyết 11 Vấn đề đặt ra Cách giải quyết Làm thế nào đảm bảo rằng bản tin không bị thay đổi trong quá trình truyền? Sử dụng hàm băm để xây dựng “vân tay” của bản tin (message digest). - Bảng 1.1 (Tiếp) 1.2 Thực thi các giải pháp an ninh thông tin mạng Một tổ chức phải có chính sách an ninh thông tin cụ thể dựa trên phân tích các nhu cầu và thực trạng hệ thống. - Hệ thống firewall liên quan đến an ninh thông tin của mạng, và nó sẽ hoạt động kém hiệu quả khi các chính sách 12 an ninh thông tin không được xác định rõ ràng. - Tất cả các luật của chính sách an ninh thông tin phải được cài đặt trên một firewall hoặc RAS (Remote Access Server). - 1.3 Các kỹ thuật an ninh thông tin cho TCP/IP Mật mã (Cryptography) Đây là kỹ thuật cơ bản và được ứng dụng rộng rãi trong an ninh an toàn thông tin. - Cấu hình NAT IPSec IPsec kiểm tra toàn vẹn dữ liệu, xác thực, mã hoá bảo vệ IP packet, được sử dụng để bảo vệ an ninh thông tin mút-tới-mút (end-to-end) và tạo lập các kênh truyền bảo mật giữa các gateway. - Secure Shell (SSH) SSH có thể được sử dụng để bảo mật kênh truyền giữa các hệ thống, nó cho phép dữ liệu tạo sinh bởi TELNET, FTP, POP3 được mã hoá và nén. - 16 Người sử dụng có thể lựa chọn các phương pháp mã hoá khác nhau. - Dữ liệu sẽ được mã hoá và được nén (tuỳ chọn) bằng thuật toán LempleZiv. - Secure Socket Layer (SSL) SSL là một giao thức an ninh thông tin hỗ trợ một kênh truyền riêng giữa các ứng dụng truyền thông, bảo đảm độ tin cậy thông tin, xác thực đối tác truyền thông, và đảm bảo toàn vẹn dữ liệu. - Tại thời điểm này, vẫn chưa xảy ra quá trình mã hoá hoặc kiểm tra toàn vẹn dữ liệu trong kết nối. - Giao thức SSL đề cập tới các vấn đề an ninh thông tin: Bí mật: Sau khi khoá đối xứng được thiết lập trong pha bắt tay, các bản tin được mã hoá sử dụng khoá này. - Người bán: bán hàng hoá, dịch vụ hoặc thông tin. - Hai ứng dụng có thể sử dụng TLS để trao đổi thông tin một cách bảo mật. - VPNs chuyển tải thông tin một cách bảo mật thông qua mạng Internet kết nối người sử dụng ở xa, các chi nhánh và các đối tác kinh doanh. - Các giải pháp an ninh thông tin cho các tầng của TCP/IP 1.4 An ninh thông tin cho giao thức IPv Giới thiệu IPv6 còn được gọi là IPng (IP next generation) là thế hệ tiếp theo của giao thức IPv4. - IPv6 có thể sử dụng khả năng bảo mật cho tất cả các packet tới tầng mạng, IPv6 có thể được sử dụng cho để xác thực và mã hoá thông tin host-to-host, host-to-subnet và subnet-to-subnet. - An ninh thông tin là một trong những ưu điểm của NAT. - Tuy nhiên, ngày càng có nhiều thuật toán bảo mật và phương pháp mã hoá để bảo vệ thông tin không thể làm việc với NAT cho dù NAT có thể làm việc trong suốt với SSL, SSH và một số thuật toán xác thực khác như Radius, Kerberos và S/Key. - Mặc dù gắn liền với việc sử dụng các kỹ thuật mã hoá, xác thực và toàn vẹn dữ liệu chiếm nhiều thời gian xử lý nhưng các 21 giao thức trên vẫn được sử dụng do lợi ích về bảo mật thông tin do nó mang lại. - Với các cơ chế ESP, cùng với xác thực cũng sử dụng các thuật toán mã hoá. - CHƯƠNG 2 – MẬT MÃ THÔNG TIN (CRYPTOGRAPHY) Theo trình bày trong Chương 1, để giải quyết vấn đề an ninh thông tin trên mạng, có rất nhiều các kỹ thuật. - Do hầu hết, 26 nếu không muốn nói là tất cả các giải pháp an ninh thông tin là dựa trên các giải thuật mã hoá, do đó đây là một kỹ thuật cần được quan tâm. - Trong chương này sẽ trình bày nghiên cứu về kỹ thuật Mật mã thông tin (Cryptography). - Các nghiên cứu sẽ trình bày các khái niệm cơ bản về mật mã thông tin và một số kỹ thuật mật mã tiêu biểu, có nhiều ứng dụng trong thực tế. - Phần trình bày trong chương này sẽ tạo tiền đề cho các nghiên cứu ở Chương 3 và Chương 4: So sánh và đánh giá các kỹ thuật mật mã thông tin. - Mật mã thông tin (cryptography) là một nhánh của ngành khoa học máy tính thực hiện việc áp dụng các luật vào trong thế giới máy tính. - Các thuật ngữ - Mã hoá (Encryption): Quá trình chuyển đổi bản tin gốc thành bản tin mã hoá. - Giải mã (Decryption): Quá trình chuyển ngược bản tin mã hoá thành bản tin ban đầu. - 27 - Hệ mật mã (Cryptosystem): hệ thống mã hoá và giải mã. - Bản tin gốc (plaintext, cleartext): bản tin ban đầu, cần được áp dụng các biện pháp bảo mật thông tin. - Định nghĩa Mật mã (cryptography) là lĩnh vực nghiên cứu về các kỹ thuật toán học liên quan đến an ninh thông tin: sự bảo mật, nhất quán dữ liệu, xác thực thực thể, và xác thực nguồn gốc dữ liệu [1]. - Quá trình chuyển đổi thông tin gốc sang dạng mật mã được gọi là mã hoá (encryption hay enciphering) [13]. - Mật mã không chỉ là các phương tiện hỗ trợ an ninh thông tin mà là một tập các kỹ thuật để hỗ trợ thực hiện an ninh thông tin. - Bí mật (confidentiality): giữ cho nội dung của thông tin được bí mật với tất cả mọi người trừ những người có thẩm quyền với dữ liệu. - Xác thực (Authentication): Định danh thực thể hoặc thông tin. - Thông tin được chuyển qua một kênh phải được xác thực về nơi truyền, thời điểm truyền, nội dung dữ liệu. - Phân loại các kỹ thuật mật mã Có hai cách tiếp cận bảo vệ thông tin bằng mật mã: theo đường truyền (link-oriented security) và từ mút-đến-mút (end-to-end) [1]. - Trong cách thứ nhất, thông tin được mã hoá để bảo vệ trên đường truyền giữa hai nút không quan tâm đến nguồn và đích của thông tin đó. - Nhược điểm của nó là vì thông tin được mã hoá trên đường truyền nên đòi hỏi các nút phải được bảo vệ tốt. - Thông tin được mã hoá ngay khi mới được tạo ra và chỉ được giải mã khi đến đích. - Nhược điểm của phương pháp này là chỉ có dữ liệu người sử dụng được mã hoá, còn thông tin điều khiển thì phải giữ nguyên để có thể xử lý tại các nút. - Bản tin gốc (plaintext): chưa được mã hoá. - Phương pháp truyền thống thường dùng cùng một khoá để mã hoá và giải mã. - Một phương pháp khác là sử dụng khoá công khai (bất đối xứng) trong đó khoá để mã hoá và khoá để giải mã khác nhau. - Các khoá làm việc được dùng riêng để mã hoá thông tin trên một liên kết đơn. - 2.2 Các kỹ thuật mật mã thông tin phổ biến Có 4 phương pháp chủ yếu, đó là. - 2.2.1.3 Phá vỡ mã hoá đổi chỗ Để mã hoá một bản tin sử dụng mã hoá thay thế, các ký tự có thể được đảo vị trí không theo một hệ thống nào. - Tuy nhiên, bằng cách chọn một hệ thống để sắp xếp lại các ký tự sẽ có thể cho phép người nghe trộm thông tin có thể thực hiện được mục đích của mình. - Bước 1: Nhận biết được bản tin đã được mã hoá sử dụng phương pháp đổi chỗ. - Tính toán tần suất xuất hiện tương đối của các ký tự mã hoá. - Đây là các thuật toán mã hoá chuyển đổi trong đó người gửi và người nhận cần phải có sự thoả thuận về khoá trước khi có sự truyền thông tin giữa hai bên. - Hình 2.2 minh hoạ thuật toán mã hoá đối xứng. - Mã hoá và giải mã có khoá Mã hoá khối (block cipher) được sử dụng trong nhiều chế độ khác nhau. - mỗi khối của bản tin gốc được mã hoá một cách độc lập. - Một bản tin gốc được mã hoá bởi khoá công khai chỉ có thể được giải mã bởi khoá bí mật tương ứng với nó. - Một khối dữ liệu cần mã hoá sẽ phải trải qua 3 quá trình xử lý lần lượt như sau. - Mã hoá Quá trình mã hoá được minh hoạ ở Hình 2.3. - Từ (2.1), ta có: 39 R = L’ (2.4) L = R’ f(L’, K) Do vậy, để giải mã bản tin chỉ cần áp dụng thuật toán tương tự với khối dữ liệu đã được mã hoá. - Hàm hoán vị P Thuật toán 3DES (Triple-DES) Gọi EK(I) và DK(I) biểu diễn cho các hàm mã hoá và giải mã của I sử dụng khoá K. - Thông tin công khai sẽ gồm e và n, còn tất cả các đại lượng khác phải được giữ bí mật. - Quá trình mã hoá Người gửi A thực hiện. - Lấy thông tin về khoá công khai (n,e) của B
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt