Đề tài Các kỹ thuật bảo mật được sử dụng hiện nay

1 ĐỀ TÀI: CÁC KỸ THUẬT BẢO MẬT ĐƯỢC SỬ DỤNG HIỆN NAY 2 1. BẢO MẬT MẠNG: a.Bảo mật mạng là gì ? Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Bảo mật là việc bảo toàn được dữ liệu, tài nguyên, do đó dữ liệu phải được đảm bảo các yêu cầu đôi với dữ liệu mềm : -Tính bảo mật: Tính bảo mật chỉ cho phép nguời có quyền hạn truy cập đến nó. -Tính toàn vẹn dữ liệu: Dữ liệu không được sửa đổi, bị xóa một cách bất hợp pháp. -Tính sẵn sàng: Bất cứ lúc nào chúng ta cần thì dữ liệu luôn sẵn sàng. Thêm vào đó phải đảm bảo được an toàn cho các bộ phận dữ liệu cứng như :hệ thống máy tính, bộ nhớ, hệ thống ổ đĩa, máy in và nhiều tài nguyên trên hệ thống máy tính. Nguyên nhân của lỗ hổng bảo mât : Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp … Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows XP, Windows NT, UNIX; hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ databases… b.Đối tượng gây rủi ro dữ liệu : 3 Hacker mũ đen : Đây là tên trộm chính hiệu. Mục tiêu của chúng là đột nhập vào máy hệ thống máy tính của đối tượng để lấy cấp thông tin, nhằm mục đích bất chính. Hacker mũ đen là những tội phạm thật sự cần sự trừng trị của pháp luật. Hacker mũ trắng : Họ là những nhà bảo mật và bảo vệ hệ thống. Họ cũng xâm nhập vào hệ thống, tìm ra những kẽ hở, những lổ hổng chết người, và sau đó tìm cách vá lại chúng. Tất nhiên, hacker mũ trắng cũng có khả năng xâm nhập, và cũng có thể trở thành hacker mũ đen. Hacker mũ xám : Lọai này được sự kết hợp giữa hai loại trên. Thông thường họ là những người còn trẻ, muốn thể hiện mình. Trong một thời điểm, họ đột nhập vào hệ thống để phá phách. Nhưng trong thời điểm khác họ có thể gửi đến nhà quản trị những thông tin về lổ hổng bảo mật và đề xuất cách vá lỗi. 2.CÁC KỸ THUẬT BẢO MẬT ĐƯỢC SỬ DỤNG HIỆN NAY : 2.1. TLS/SSL Mã hóa dữ liệu trên đường truyền mạng máy tính đóng vai trò quan trọng trong an toàn thông tin. Ngày nay, giao thức TCP/IP được sử dụng rộng rãi trong môi trường mạng máy tính. Nhiều kỹ thuật mã hóa được xây dựng trên các lớp của giao thức mạng như kỹ thuật IPSec quan tâm đến mã hóa đường truyền đối với các gói tin ở tầng IP, kỹ thuật TLS/SSL (Transport Layer Security/Secure Socket Layer) quan tâm đến mã hóa đối với các phiên làm việc tương ứng tầng ứng dụng v.v… Tùy theo mục đích của người sử dụng, người ta chọn kỹ thuật mã hóa phù hợp với yêu cầu đặt ra. Ví dụ khi lựa chọn kỹ thuật mã hóa trong môi trường mạng riêng ảo (Virtual Private Network - VPN), IPSec và TLS/SSL đều được sử dụng. IPSec được dùng trong các đường truyền tốc độ cao, còn TLS/SSL được dùng khi trong phạm vi mạng diện rộng. TLS và SSL là hai giao thức hoạt động giống nhau, được sử dụng rộng rãi trong các dịch vụ mạng cơ bản của Internet và đóng vai trò mã hóa đường truyền theo phiên giao dịch. Phiên bản 3.0 của SSL ra đời năm 1996 do hãng Nescape công bố và là nền tảng 4 hình thành phiên bản 1.0 của giao thức TLS do IETF định nghĩa trong RFC 2246 vào tháng 1/1999. Hiện nay, phiên bản 1.1 của TLS đã công bố và được mô tả trong RFC 4346. Mặc dù phiên bản 3.0 của SSL và phiên bản 1.0 của TLS có một vài điểm khác nhau, nhưng bản chất hoạt động giống nhau. Do đó, người ta thường dùng cụm từ TLS/SSL đi đôi với nhau và chỉ cần mô tả phương thức hoạt động của TLS. *TLS TLS đảm bảo các tính chất toàn vẹn, không bị giả mạo, không bị thay đổi thông tin bằng cơ chế xác thực và mã hóa dữ liệu. Giao thức này hoạt động theo mô hình client/server, thành phần server được ghi nhận xác thực, thành phần client không cần chứng nhận. Bên cạnh đó, giao thức cũng được dùng trong trường hợp xác thực lẫn nhau, tức là hai bên liên lạc cần biết đích danh lẫn nhau. *Giao thức TLS hoạt động qua 3 giai đoạn: -Thông báo cho nhau các thuật toán sử dụng trong mã hóa, hàm băm. -Sử dụng phương pháp mã hóa bất đối xứng để trao đổi chìa khóa mã hóa dữ liệu (thường là mã hóa đối xứng). -Dùng chìa khóa mã đối xứng để mã hóa dữ liệu. *Các thuật toán mã hóa và hàm băm thường được sử dụng trong giao thức bao gồm: Mã hóa bất đối xứng: RSA, DSA, Diffie-Hellman. Mã hóa đối xứng: RC2, RC4, IDEA, DES, Triple DES, EAS và Camellia. Hàm băm : MD2, MD4, MD5 và SHA. Tóm lại, TLS/SSL là giao thức xây dựng trên môi trường mạng máy tính áp dụng các lợi điểm của kỹ thuật mã hóa đối xứng và bất đối xứng trong trao đổi thông điệp. Kỹ thuật này dược xem là không thể thiếu đối với các dịch vụ mạng cần bảo vệ thông tin khi truyền qua môi trường mạng công cộng. *SSL Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ 5 như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia xẻ tạm thời (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đỏi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua giấy chứng thực điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA). Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khả năng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại điện tử và thanh toán điện tử mang quy mô toàn cầu… Giao thức SSL dựa trên hai nhóm con giao thức là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi “lời chào” (hellos) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng. Ngoài ra, các ứng dụng còn trao đổi “số nhận dạng/khoá theo phiên” (session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng thực điện tử (digital certificate) xác thực của ứng dụng chủ (web server). 6 2.2.SET- Các giao dịch điện tử an toàn: Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế giới áp dụng công nghệ bảo mật cao cấp là SET. - SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua,bán… Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính... sự tin cậy trong giao dịch. Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm xử lý thẻ tín dụng. Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ (method of interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm khác nhau. SET có liên quan với SSL do nó cũng sử dụng các khoá công cộng và khoá riêng với khoá riêng được giữ bởi một cơ quan chứng nhận thẩm quyền. Không giống như SSL, SET đặt các khoá riêng trong tay của cả người mua và người bán trong một giao dịch. Ðiều đó có nghĩa là một người sử dụng thông thường cần các khoá riêng của họ và cần phải đăng ký các khoá này cũng giống như các máy chủ phải làm. Dưới đây là cách mà hệ thống này làm việc. Khi một giao dịch SET được xác nhận quyền sử dụng, mã khoá riêng của người sử dụng sẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bán về tính xác thực của yêu cầu giao dịch từ phía người mua và các mạng thanh toán công cộng. 7 Trong thực tế nó giống như là việc ký vào tờ giấy thanh toán trong nhà hàng. Chữ ký số chứng minh là ta đã ăn thịt trong món chính và chấp nhận hoá đơn. Do người mua không thể thoát ra khỏi một giao dịch SET, để khiếu nại về việc họ không mua hàng nên các giao dịch SET theo lý thuyết sẽ chạy qua các hệ thống thanh toán giống như ta mua hàng ở thiết bị đầu cuối tại các cửa hàng bách hóa thực. Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng. 2.3. FireWall: Trong ngành mạng máy tính, bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ. Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of leas t privilege). Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng. Có 2 loại tường lửa thông dụng: tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với mục đích kiểm duyệt Internet. 8 Bức tường lửa đóng vai trò rất lớn trong các dự án thương mại điện tử. Nó có thể giám sát các website và bảo vệ các hệ thống xử lý lệnh. Nó kết hợp giữa phần cứng và phần mềm, là hàng rào giữa tài nguyên Internet của doanh nghiệp với thế giới bên ngoài. Công nghệ cho công cụ này có hai hình thức cơ bản là phần mềm cài đặt vào server internet hoặc một hệ thống lọc độc lập trước server internet và bảo vệ mạng nội bộ trước thế giới bên ngoài. Một bức tường lửa chỉ gồm phần mềm là đủ đảm bảo an toàn cho một webs ite thương mại điện tử cỡ nhỏ, còn loại hệ thống độc lập trước server thì dùng để bảo toàn dữ liệu cho các dự án quy mô hơn. Bức tường lửa có hai thành phần chính gồm: cổng và van. Cổng cho phép dữ liệu lưu thông giữa hai mạng thông tin trong khi van để ngăn các gói dữ liệu ra vào không đúng cổng. Để áp dụng hiệu quả hơn, theo các chuyên gia khuyến cáo thì nên sử dụng song song hai bức tường lửa của hai nhà sản xuất khác nhau để phát huy đầy đủ và không bỏ sót các khiếm khuyết của từng bộ. 2.4.Tunnel Trong khi đó, Tunnel dựa trên cơ sở các gói giao thức Internet được mã hoá, cung cấp tạo ra mạng riêng ảo (virtual private network – MRA) nhằm phục vụ cho các giao tiếp kinh doanh cần mức độ bảo mật cao. MRA rất hữu dụng trong việc ngăn chặn các tay hacker cũng như người sử dụng không được phép trong khi công nghệ này lại có thêm khả năng kết nối mọi người lại với nhau. Hay nói khác hơn, ngoài chức năng là công cụ bảo mật, tunnel còn giúp các nhân viên, bất kể xa hay gần, có phương tiện rẻ tiền để kết nối với nhau. Các chi phí để thiết lập tunnel chủ yếu là chi phí ban đầu, sau đó thì chỉ tốn chi phí hoạt động rất ít. Tuy bức tường lửa và tunnel là những công cụ khá an toàn cho thương mại điện tử nhưng nó cũng có những mối đe doạ không phải nhỏ. Bức tường lửa không thể ngăn chặn được các truy nhập trái phép ngay từ các nhân viên trong công ty vì vậy bạn cần phải xác định ngay rằng khi mở MRA cho các đối tác kinh doanh đồng nghĩa với việc bạn đang đặt tổ chức của mình vào nguy cơ thất thoát thông tin cao. 2.5 Mã hóa bí mật: Là quá trình chuyển các văn bản hay các tài liệu gốc thành các văn bản dưới dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể đọc được. 9 Mật mã hoá/giải mật mã tập tin bằng thuật toán tiên tiến: Dùng thuật toán mật mã hoá khoá chung (public-key) và một loạt các ký tự mật mã (cipher) mạnh và có chứng thực, dữ liệu phải được mật mã hoá trước khi rời khỏi bộ nhớ ban đầu và tiếp tục ở dạng này khi được lưu trên các môi truờng lưu trữ trong suốt vòng đời của nó. Bất luận dữ liệu đang ở trên đĩa cứng hay băng từ, những cá nhân hoặc tổ chức không có thẩm quyền không thể đọc được những thông tin giao dịch quan trọng của khách hàng. Mật mã hoá/giải mật mã trên mạng bằng thuật toán tiên tiến: Vì hơn 50% các vụ tấn công vào dữ liệu xảy ra trên các mạng riêng (private network), nên một hành lang an toàn phải được dựng lên để đảm bảo những tài sản quý giá dạng điện tử không thể bị đọc trộm trong khi truyền từ môi trường lưu trữ này sang môi trường lưu trữ khác. a.Chữ ký điện tử: Các chữ ký điện tử có thể bảo vệ dữ liệu không bị xâm phạm. Dùng kỹ thuật băm (hashing) một chiều cho cả dữ liệu cần backup lẫn chữ ký điện tử được gửi đi trên mạng. Khi dữ liệu backup và dữ liệu lưu trữ về tới điểm đến, một hàm băm mới được tạo ra từ dữ liệu ban đầu và so sánh với hàm băm ban đầu để đảm bảo thông tin không bị thay đổi. Cũng có thể sử dụng một phương pháp tương tự để đảm bảo tínhkhông thể phản bác được của những dữ liệu lưu trữ dài hạn (long-term archive) trong các trường hợp phải chấp hành luật lệ hay tranh tụng. b.Quản lý khoá theo trật tự cấp bậc: Một hạ tầng cơ sở chứng thực (cartificate infrastructure) tích hợp và có trật tự cấp bậc sẽ đối phó với vấn đề mạo xưng và đảm bảo thông tin được backup hoặc khôi phục đã gửi tới từ một máy tính tin cậy. Một cơ chế như vậy có thể được dùng để đảm bảo rằng chỉ những người dùng có thẩm quyền mới khôi phục được dữ liệu mà họ được phép truy cập. c.Public Key Infrastructure (PKI): là một cơ chế để cho một bên thứ ba (thường là nhà cung cấp chứng thực số ) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp public/private. Các quá trình này thường được thực hiện bởi một phần mềm đặt tại trung 10 tâm và các phần mềm khác tại các địa điểm của người dùng. Khoá công khai thường được phân phối trong chứng thực khóa công khai – hay Public Key Infrastructure. Khái niệm hạ tầng khoá công khai (PKI) thường được dùng chỉ toàn bộ hệ thống bao gồm cả nhà cung cấp chứng thực số (CA) cùng các cơ chế liên quan đồng thời với toàn bộ việc sử dụng các thuật toán mã hoá công khai trong trao đổi thông tin. Tuy nhiên phần sau được bao gồm không hoàn toàn chính xác bởi vì các cơ chế trong PKI không nhất thiết sử dụng các thuật toán mã hoá công khai. *Các thành phần của PKI : PKIs dựa vào một thiết bị mật mã để bảo đảm các khoá công khai được quản lý an toàn. Các thiết bị này không hoạt động cùng lúc được thực hiện ở các hàm mảng rộng có liên quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau: -chứng thực và đăng ký mật mã đầu cuối -kiểm tra tính toàn vẹn của khoá công khai -chứng thực yêu cầu trong quá trình bảo quản các khoá công khai -bí mật cấp phát khoá công cộng -huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài -duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP] messages). -đảm bảo an toàn về độ lớn của khoá. *.Mục tiêu và các chức năng của PKI PKI cho phép những người tham gia xác thực lẫn nhau và sử dụng các thông tin từ các chứng thực khoá công khai để mật mã hoá và giải mã thông tin trong quá trình trao đổi. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹ và xác thực lẫn nhau mà không cần trao đổi các thông tin bảo mật từ trước. Mục tiêu chính của PKI là cung cấp khoá công khai và xác định mối liên hệ giữa khoá và định dạng người dùng. Nhờ vậy, người dùng có thể sử dụng trong một số ứng dụng như : -Mã hoá Email hoặc xác thực người gửi Email -Mã hoá hoặc chứng thực văn bản -Xác thực người dùng ứng dụng -Các giao thức truyền thông an toàn : trao đổi bằng khoá bất đối xứng, mã hoá bằng 11 khoá đối xứng. PKI bao gồm các thành phần sau đây: -Phát sinh một cặp khoá riêng và khoá chung cho PKI client -Tạo và xác nhận chữ ký điện tử -cấp phát chứng nhậo người dùng -Đánh dấu những khoá đã cấp phát và bảo trì quá trình sử dụng của mỗi khoá -Hủy bỏ những đăng ký sai và hết hạn -Xác nhận PKI client *.Mục đích của PKI PKIđược sử dụng với các mục đích : -Mã hoá: giữ bí mật thông tin và chỉ có người có khoá bí mật mới giải mã được. -Tạo chữ ký số : cho phép kiểm tra một văn bản có phải đã được tạo với một khoá bí mật nào đó hay không. -Thoả thuận khoá: cho phép thiết lập khoá dùng để trao đổi thông tin bảo mật giữa 2 bên.