Đề tài Các kỹ thuật bảo mật được sử dụng hiện nay
PKIs dựa vào một thiết bị mật mã để bảo đảm các khoá công khai được quản lý an toàn.
Các thiết bị này không hoạt động cùng lúc được thực hiện ở các hàm mảng rộng có liên
quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau:
-chứng thực và đăng ký mật mã đầu cuối
-kiểm tra tính toàn vẹn của khoá công khai
-chứng thực yêu cầu trong quá trình bảo quản các khoá công khai
-bí mật cấp phát khoá công cộng
-huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài
-duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông
qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP]
mes sages).
11 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2892 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Đề tài Các kỹ thuật bảo mật được sử dụng hiện nay, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
1
ĐỀ TÀI:
CÁC KỸ THUẬT BẢO MẬT ĐƯỢC SỬ DỤNG
HIỆN NAY
2
1. BẢO MẬT MẠNG:
a.Bảo mật mạng là gì ?
Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan
tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết.
Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ
những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị
phân tán, dẫn một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng
như các thông tin có giá trị.
Bảo mật là việc bảo toàn được dữ liệu, tài nguyên, do đó dữ liệu phải được đảm bảo các
yêu cầu đôi với dữ liệu mềm :
-Tính bảo mật: Tính bảo mật chỉ cho phép nguời có quyền hạn truy cập đến nó.
-Tính toàn vẹn dữ liệu: Dữ liệu không được sửa đổi, bị xóa một cách bất hợp pháp.
-Tính sẵn sàng: Bất cứ lúc nào chúng ta cần thì dữ liệu luôn sẵn sàng.
Thêm vào đó phải đảm bảo được an toàn cho các bộ phận dữ liệu cứng như :hệ thống
máy tính, bộ nhớ, hệ thống ổ đĩa, máy in và nhiều tài nguyên trên hệ thống máy tính.
Nguyên nhân của lỗ hổng bảo mât :
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của
dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp
pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như
sendmail, web, ftp … Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như
trong Windows XP, Windows NT, UNIX; hoặc trong các ứng dụng mà người sử dụng
thường xuyên sử dụng như Word processing, Các hệ databases…
b.Đối tượng gây rủi ro dữ liệu :
3
Hacker mũ đen :
Đây là tên trộm chính hiệu. Mục tiêu của chúng là đột nhập vào máy hệ thống máy tính
của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những
tội phạm thật sự cần sự trừng trị của pháp luật.
Hacker mũ trắng :
Họ là những nhà bảo mật và bảo vệ hệ thống. Họ cũng xâm nhập vào hệ thống, tìm ra
những kẽ hở, những lổ hổng chết người, và sau đó tìm cách vá lại chúng. Tất nhiên,
hacker mũ trắng cũng có khả năng xâm nhập, và cũng có thể trở thành hacker mũ đen.
Hacker mũ xám :
Lọai này được sự kết hợp giữa hai loại trên. Thông thường họ là những người còn trẻ,
muốn thể hiện mình. Trong một thời điểm, họ đột nhập vào hệ thống để phá phách.
Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lổ hổng
bảo mật và đề xuất cách vá lỗi.
2.CÁC KỸ THUẬT BẢO MẬT ĐƯỢC SỬ DỤNG HIỆN NAY :
2.1. TLS/SSL
Mã hóa dữ liệu trên đường truyền mạng máy tính đóng vai trò quan trọng trong an toàn
thông tin. Ngày nay, giao thức TCP/IP được sử dụng rộng rãi trong môi trường mạng
máy tính. Nhiều kỹ thuật mã hóa được xây dựng trên các lớp của giao thức mạng như
kỹ thuật IPSec quan tâm đến mã hóa đường truyền đối với các gói tin ở tầng IP, kỹ thuật
TLS/SSL (Transport Layer Security/Secure Socket Layer) quan tâm đến mã hóa đối với
các phiên làm việc tương ứng tầng ứng dụng v.v… Tùy theo mục đích của người sử
dụng, người ta chọn kỹ thuật mã hóa phù hợp với yêu cầu đặt ra. Ví dụ khi lựa chọn kỹ
thuật mã hóa trong môi trường mạng riêng ảo (Virtual Private Network - VPN), IPSec
và TLS/SSL đều được sử dụng. IPSec được dùng trong các đường truyền tốc độ cao,
còn TLS/SSL được dùng khi trong phạm vi mạng diện rộng.
TLS và SSL là hai giao thức hoạt động giống nhau, được sử dụng rộng rãi trong các
dịch vụ mạng cơ bản của Internet và đóng vai trò mã hóa đường truyền theo phiên giao
dịch. Phiên bản 3.0 của SSL ra đời năm 1996 do hãng Nescape công bố và là nền tảng
4
hình thành phiên bản 1.0 của giao thức TLS do IETF định nghĩa trong RFC 2246 vào
tháng 1/1999. Hiện nay, phiên bản 1.1 của TLS đã công bố và được mô tả trong RFC
4346. Mặc dù phiên bản 3.0 của SSL và phiên bản 1.0 của TLS có một vài điểm khác
nhau, nhưng bản chất hoạt động giống nhau. Do đó, người ta thường dùng cụm từ
TLS/SSL đi đôi với nhau và chỉ cần mô tả phương thức hoạt động của TLS.
*TLS
TLS đảm bảo các tính chất toàn vẹn, không bị giả mạo, không bị thay đổi thông tin bằng
cơ chế xác thực và mã hóa dữ liệu. Giao thức này hoạt động theo mô hình client/server,
thành phần server được ghi nhận xác thực, thành phần client không cần chứng nhận.
Bên cạnh đó, giao thức cũng được dùng trong trường hợp xác thực lẫn nhau, tức là hai
bên liên lạc cần biết đích danh lẫn nhau.
*Giao thức TLS hoạt động qua 3 giai đoạn:
-Thông báo cho nhau các thuật toán sử dụng trong mã hóa, hàm băm.
-Sử dụng phương pháp mã hóa bất đối xứng để trao đổi chìa khóa mã hóa dữ liệu
(thường là mã hóa đối xứng).
-Dùng chìa khóa mã đối xứng để mã hóa dữ liệu.
*Các thuật toán mã hóa và hàm băm thường được sử dụng trong giao thức bao gồm:
Mã hóa bất đối xứng: RSA, DSA, Diffie-Hellman.
Mã hóa đối xứng: RC2, RC4, IDEA, DES, Triple DES, EAS và Camellia.
Hàm băm : MD2, MD4, MD5 và SHA.
Tóm lại, TLS/SSL là giao thức xây dựng trên môi trường mạng máy tính áp dụng các
lợi điểm của kỹ thuật mã hóa đối xứng và bất đối xứng trong trao đổi thông điệp. Kỹ
thuật này dược xem là không thể thiếu đối với các dịch vụ mạng cần bảo vệ thông tin
khi truyền qua môi trường mạng công cộng.
*SSL
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật,
an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ
5
như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong
nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ
thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ
tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu
nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn
đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông
qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai (thí dụ
RSA). Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích
cấp độ an toàn của nó và các khả năng áp dụng trong các ứng dụng nhạy cảm, đặc biệt
là các ứng dụng về thương mại điện tử và thanh toán điện tử mang quy mô toàn cầu…
Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake
protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt tay xác định các tham
số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức
bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối
tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web,
làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các
thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các
chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng.
Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session ID,
session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu
có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server).
6
2.2.SET- Các giao dịch điện tử an toàn:
Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung cấp
dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao cấp là
SET.
- SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập hợp
những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch
mua,bán…
Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và
các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo
cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính... sự tin cậy trong giao
dịch.
Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong các
doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm xử lý thẻ tín
dụng.
Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ (method of
interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm
khác nhau.
SET có liên quan với SSL do nó cũng sử dụng các khoá công cộng và khoá riêng với
khoá riêng được giữ bởi một cơ quan chứng nhận thẩm quyền. Không giống như SSL,
SET đặt các khoá riêng trong tay của cả người mua và người bán trong một giao dịch.
Ðiều đó có nghĩa là một người sử dụng thông thường cần các khoá riêng của họ và cần
phải đăng ký các khoá này cũng giống như các máy chủ phải làm. Dưới đây là cách mà
hệ thống này làm việc. Khi một giao dịch SET được xác nhận quyền sử dụng, mã khoá
riêng của người sử dụng sẽ thực hiện chức năng giống như một chữ ký số, để chứng
minh cho người bán về tính xác thực của yêu cầu giao dịch từ phía người mua và các
mạng thanh toán công cộng.
7
Trong thực tế nó giống như là việc ký vào tờ giấy thanh toán trong nhà hàng. Chữ ký số
chứng minh là ta đã ăn thịt trong món chính và chấp nhận hoá đơn. Do người mua
không thể thoát ra khỏi một giao dịch SET, để khiếu nại về việc họ không mua hàng nên
các giao dịch SET theo lý thuyết sẽ chạy qua các hệ thống thanh toán giống như ta mua
hàng ở thiết bị đầu cuối tại các cửa hàng bách hóa thực.
Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông tin
về tài chính trong quá trình mua bán và giao dịch trên mạng.
2.3. FireWall:
Trong ngành mạng máy tính, bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số
cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng
mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng
từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.
Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy
khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng
không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng
là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc
áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối
thiểu (principle of leas t privilege).
Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống. Việc
này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính. Những lỗi
nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng.
Có 2 loại tường lửa thông dụng: tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá
nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa ngăn
chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn
không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với
mục đích kiểm duyệt Internet.
8
Bức tường lửa đóng vai trò rất lớn trong các dự án thương mại điện tử. Nó có thể giám
sát các website và bảo vệ các hệ thống xử lý lệnh. Nó kết hợp giữa phần cứng và phần
mềm, là hàng rào giữa tài nguyên Internet của doanh nghiệp với thế giới bên ngoài.
Công nghệ cho công cụ này có hai hình thức cơ bản là phần mềm cài đặt vào server
internet hoặc một hệ thống lọc độc lập trước server internet và bảo vệ mạng nội bộ trước
thế giới bên ngoài. Một bức tường lửa chỉ gồm phần mềm là đủ đảm bảo an toàn cho
một webs ite thương mại điện tử cỡ nhỏ, còn loại hệ thống độc lập trước server thì dùng
để bảo toàn dữ liệu cho các dự án quy mô hơn.
Bức tường lửa có hai thành phần chính gồm: cổng và van. Cổng cho phép dữ liệu lưu
thông giữa hai mạng thông tin trong khi van để ngăn các gói dữ liệu ra vào không đúng
cổng. Để áp dụng hiệu quả hơn, theo các chuyên gia khuyến cáo thì nên sử dụng song
song hai bức tường lửa của hai nhà sản xuất khác nhau để phát huy đầy đủ và không bỏ
sót các khiếm khuyết của từng bộ.
2.4.Tunnel
Trong khi đó, Tunnel dựa trên cơ sở các gói giao thức Internet được mã hoá, cung cấp
tạo ra mạng riêng ảo (virtual private network – MRA) nhằm phục vụ cho các giao tiếp
kinh doanh cần mức độ bảo mật cao. MRA rất hữu dụng trong việc ngăn chặn các tay
hacker cũng như người sử dụng không được phép trong khi công nghệ này lại có thêm
khả năng kết nối mọi người lại với nhau. Hay nói khác hơn, ngoài chức năng là công cụ
bảo mật, tunnel còn giúp các nhân viên, bất kể xa hay gần, có phương tiện rẻ tiền để kết
nối với nhau. Các chi phí để thiết lập tunnel chủ yếu là chi phí ban đầu, sau đó thì chỉ
tốn chi phí hoạt động rất ít.
Tuy bức tường lửa và tunnel là những công cụ khá an toàn cho thương mại điện tử
nhưng nó cũng có những mối đe doạ không phải nhỏ. Bức tường lửa không thể ngăn
chặn được các truy nhập trái phép ngay từ các nhân viên trong công ty vì vậy bạn cần
phải xác định ngay rằng khi mở MRA cho các đối tác kinh doanh đồng nghĩa với việc
bạn đang đặt tổ chức của mình vào nguy cơ thất thoát thông tin cao.
2.5 Mã hóa bí mật:
Là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật
mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể đọc được.
9
Mật mã hoá/giải mật mã tập tin bằng thuật toán tiên tiến: Dùng thuật toán mật mã hoá
khoá chung (public-key) và một loạt các ký tự mật mã (cipher) mạnh và có chứng thực,
dữ liệu phải được mật mã hoá trước khi rời khỏi bộ nhớ ban đầu và tiếp tục ở dạng này
khi được lưu trên các môi truờng lưu trữ trong suốt vòng đời của nó. Bất luận dữ liệu
đang ở trên đĩa cứng hay băng từ, những cá nhân hoặc tổ chức không có thẩm quyền
không thể đọc được những thông tin giao dịch quan trọng của khách hàng.
Mật mã hoá/giải mật mã trên mạng bằng thuật toán tiên tiến: Vì hơn 50% các vụ tấn
công vào dữ liệu xảy ra trên các mạng riêng (private network), nên một hành lang an
toàn phải được dựng lên để đảm bảo những tài sản quý giá dạng điện tử không thể bị
đọc trộm trong khi truyền từ môi trường lưu trữ này sang môi trường lưu trữ khác.
a.Chữ ký điện tử:
Các chữ ký điện tử có thể bảo vệ dữ liệu không bị xâm phạm. Dùng kỹ thuật băm
(hashing) một chiều cho cả dữ liệu cần backup lẫn chữ ký điện tử được gửi đi trên
mạng. Khi dữ liệu backup và dữ liệu lưu trữ về tới điểm đến, một hàm băm mới được
tạo ra từ dữ liệu ban đầu và so sánh với hàm băm ban đầu để đảm bảo thông tin không
bị thay đổi. Cũng có thể sử dụng một phương pháp tương tự để đảm bảo tínhkhông thể
phản bác được của những dữ liệu lưu trữ dài hạn (long-term archive) trong các trường
hợp phải chấp hành luật lệ hay tranh tụng.
b.Quản lý khoá theo trật tự cấp bậc:
Một hạ tầng cơ sở chứng thực (cartificate infrastructure) tích hợp và có trật tự cấp bậc
sẽ đối phó với vấn đề mạo xưng và đảm bảo thông tin được backup hoặc khôi phục đã
gửi tới từ một máy tính tin cậy. Một cơ chế như vậy có thể được dùng để đảm bảo rằng
chỉ những người dùng có thẩm quyền mới khôi phục được dữ liệu mà họ được phép truy
cập.
c.Public Key Infrastructure (PKI):
là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số ) cung cấp
và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin.
Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp
public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung
10
tâm và các phần mềm khác tại các địa điểm của người dùng. Khoá công khai thường
được phân phối trong chứng thực khóa công khai – hay Public Key Infrastructure.
Khái niệm hạ tầng khoá công khai (PKI) thường được dùng chỉ toàn bộ hệ thống bao
gồm cả nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn
bộ việc sử dụng các thuật toán mã hoá công khai trong trao đổi thông tin. Tuy nhiên
phần sau được bao gồm không hoàn toàn chính xác bởi vì các cơ chế trong PKI không
nhất thiết sử dụng các thuật toán mã hoá công khai.
*Các thành phần của PKI :
PKIs dựa vào một thiết bị mật mã để bảo đảm các khoá công khai được quản lý an toàn.
Các thiết bị này không hoạt động cùng lúc được thực hiện ở các hàm mảng rộng có liên
quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau:
-chứng thực và đăng ký mật mã đầu cuối
-kiểm tra tính toàn vẹn của khoá công khai
-chứng thực yêu cầu trong quá trình bảo quản các khoá công khai
-bí mật cấp phát khoá công cộng
-huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài
-duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông
qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP]
messages).
-đảm bảo an toàn về độ lớn của khoá.
*.Mục tiêu và các chức năng của PKI
PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng các thông tin từ các
chứng thực khoá công khai để mật mã hoá và giải mã thông tin trong quá trình trao đổi.
PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹ và xác
thực lẫn nhau mà không cần trao đổi các thông tin bảo mật từ trước.
Mục tiêu chính của PKI là cung cấp khoá công khai và xác định mối liên hệ giữa khoá
và định dạng người dùng. Nhờ vậy, người dùng có thể sử dụng trong một số ứng dụng
như :
-Mã hoá Email hoặc xác thực người gửi Email
-Mã hoá hoặc chứng thực văn bản
-Xác thực người dùng ứng dụng
-Các giao thức truyền thông an toàn : trao đổi bằng khoá bất đối xứng, mã hoá bằng
11
khoá đối xứng.
PKI bao gồm các thành phần sau đây:
-Phát sinh một cặp khoá riêng và khoá chung cho PKI client
-Tạo và xác nhận chữ ký điện tử
-cấp phát chứng nhậo người dùng
-Đánh dấu những khoá đã cấp phát và bảo trì quá trình sử dụng của mỗi khoá
-Hủy bỏ những đăng ký sai và hết hạn
-Xác nhận PKI client
*.Mục đích của PKI
PKIđược sử dụng với các mục đích :
-Mã hoá: giữ bí mật thông tin và chỉ có người có khoá bí mật mới giải mã được.
-Tạo chữ ký số : cho phép kiểm tra một văn bản có phải đã được tạo với một khoá bí
mật nào đó hay không.
-Thoả thuận khoá: cho phép thiết lập khoá dùng để trao đổi thông tin bảo mật giữa 2
bên.
Các file đính kèm theo tài liệu này:
- tmdt_2123.pdf