Báo cáo bài tập lớn an toàn bảo mật thông tin

  • Số trang: 33 |
  • Loại file: DOCX |
  • Lượt xem: 38 |
  • Lượt tải: 0
hoanggiang80

Đã đăng 24000 tài liệu

Mô tả:

An toànvà xác thực dữ liệu HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ  BÁO CÁO BÀI TẬP LỚN MÔN HỌC: AN TOÀN VÀ BẢO MẬT THÔNG TIN CHỦ ĐỀ 6: AN TOÀN VÀ XÁC THỰC DỮ LIỆU Hà Nội, năm 2013 Nhóm 2 Page 1 An toànvà xác thực dữ liệu MỤC LỤC LỜI MỞ ĐẦU...............................................................................................................4 I. BẢO TOÀN DỮ LIỆU.............................................................................................6 1. Tổng quan về bảo toàn dữ liệu..............................................................................6 1.1. Bài toán “bảo toàn dữ liệu” hay “bảo đảm toàn vẹn dữ liệu”........................6 1.2. Các phương pháp bảo toàn dữ liệu..................................................................6 2. Bảo toàn dữ lịêu bằng kết hợp các phương pháp..............................................11 2.1. Kết hợp Mã hóa hay Giấu tin với ký số hay thủy vân ký................................11 2.2. Kết hợp Mã hóa hay Giấu tin với Hàm băm..................................................12 3. Ứng dụng trong thực tế về bảo toàn dữ liệu.......................................................13 3.1.Tìm hiểu về Securing Email.............................................................................13 3.2. PGP................................................................................................................ 15 II. ĐẢM BẢO XÁC THỰC.......................................................................................17 Khái niệm xác thực:................................................................................................17 1. Phân loại xác thực dữ liệu:.................................................................................17 2. Xác thực dữ liệu:.................................................................................................18 2.1. Xác thực thông điệp (Message Authentication):.............................................18 2.2. Xác thực giao dịch (Transaction Authentication)...........................................19 2.3 Xác thực khóa (Key Authentication)................................................................20 2.4. Xác thực nguồn gốc dữ liệu:..........................................................................21 2.5. Xác thực bảo đảm toàn vẹn dữ liệu:...............................................................21 3. Xác thực thực thể................................................................................................21 3.1 Khái niệm:.......................................................................................................21 3.2 Phương pháp xác thực thực thể:.....................................................................21 4. Ứng dụng xác thực điện tử tại Việt Nam............................................................24 4.1. Hiện trạng và nhu cầu xác thực điện tử tại Việt Nam.....................................24 4.2. Hiệu quả của NAS..........................................................................................26 4.3. Kết luận..........................................................................................................29 5. Giới thiệu và hướng dẫn sử dụng phần mềm xác thực và bảo mật tài liệu điện tử VSIGN................................................................................................................. 29 Nhóm 2 Page 2 An toànvà xác thực dữ liệu 5.1. VSIGN - F – Xác thực và bảo mật tệp dữ liệu................................................29 5.2. VSIGN - M – Bảo mật xác thực nội dung.......................................................30 5.3. VSIGN - PDF – Xác thực và bảo mật tài liệu PDF........................................31 5.4. VSIGN sử dụng các dịch vụ trực tuyến...........................................................32 LỜI MỞ ĐẦU Ngày nay internet cùng với các dịch vụ phong phú của nó có khả năng cung cấp cho con người các phương tiện hết sức thuận tiện để trao đổi, tổ chức, tìm kiếm và cung cấp thông tin. Tuy nhiên, cũng như các phương thức truyền thống việc trao đổi, cung cấp thông tin điện tử trong nhiều lĩnh vực đòi hỏi tính bí mật, tính toàn vẹn, tính xác thực cũng như trách nhiệm về các thông tin được trao đổi. Bên cạnh đó, tốc độ xử lý của máy tính ngày càng được nâng cao, do đó cùng với sự trợ giúp của các máy tính tốc độ cao, khả năng tấn công các hệ thống thông tin có độ bảo mật kém rất dễ xảy ra. Chính vì vậy người ta không ngừng nghiên cứu các vấn đề bảo mật và an toàn thông tin để đảm bảo cho các hệ thống thông tin hoạt động an toàn. Cho đến ngày nay với sự phát triển của công nghệ mã hóa phi đối xứng, người ta đã nghiên cứu và đưa ra nhiều kỹ thuật, nhiều mô hình cho phép chúng ta áp dụng xây dựng các ứng dụng đòi hỏi tính an toàn thông tin cao. Việc đòi hỏi an toàn trong giao dịch cũng như trao đổi thông điệp được đặt lên hàng đầu vì vậy việc xác thực thông điệp là một vấn đề rất quan trọng trong các giao dịch hiện nay, đặc biệt là trong giao dịch trực tuyến. Khi nhận được một thông điệp như thư, hợp đồng, đề nghị… vấn đề đặt ra là làm sao để xác định được đúng đối tác giao dịch. I. BẢO TOÀN DỮ LIỆU 1. Tổng quan về bảo toàn dữ liệu 1.1. Bài toán “bảo toàn dữ liệu” hay “bảo đảm toàn vẹn dữ liệu” Tình huống chung: Bạn A cần chuyển 1 tập tin T đến bạn B trên mạng công khai. Bạn B nhận được tài liệu T’ ghi rõ địa chỉ của bạn A. Bài toán 1: Bài toán “bảo toàn dữ liệu” Kiểm tra để chứng minh tài liệu T’ mà B nhận được (ghi địa chỉ của A), chính là tài liệu T ban đầu mà A gửi đi. Yêu cầu: Chứng minh T’ ≡ T (chưa quan tâm đến nguồn gốc tập tin) Nhóm 2 Page 3 An toànvà xác thực dữ liệu Câu hỏi: Hiện nay có các phương pháp nào để kiểm tra T’ ≡ T ? Điều đó có nghĩa là trên đường truyền tin, nếu có kẻ gian nắm được tập tin T và thay đổi tập tin đó thì: - 1: Người nhận B phát hiện ra được sự thay đổi nội dung đó. - 2: Người gửi A không cho phép kẻ gian thay đổi nội dung của tập tin T. Bài toán 2: Bài toán “xác thực nguồn gốc dữ liệu” Kiểm tra để chứng minh rằng tài liệu T’ (ghi địa chỉ của A) đúng là do A gửi (chưa quan tâm đến trường hợp liệu T’ ≡ T hay không). Câu hỏi: Hiện nay có các phương pháp nào để kiểm tra nguồn gốc của tập tin T’? 1.2. Các phương pháp bảo toàn dữ liệu 1.2.1. Dùng mã hóa hay giấu tin để bảo toàn dữ liệu Phương pháp mã hóa hay giấu tin dùng để che giấu tài liệu T mà A gửi đi để kẻ gian không biết đó là tệp tin mang tài liệu hoặc nếu kẻ gian có chặn bắt được tài liệu T thì cũng khó có thể giải mã được nó, do đó khó có thể thay đổi được nội dung của tập tin T. Nhóm 2 Page 4 An toànvà xác thực dữ liệu Hình 1: Mã hóa hay giấu tin trong bảo toàn dữ liệu Bên cạnh đó, ta cũng có thể giấu tin bằng cách giấu tài liệu T trong 1 tài liệu khác rồi gửi đi, nếu kể gian chặn bắt được tệp tài liệu này cũng khó có thể tách được tài liệu T ra khỏi tập tài liệu gốc chứa nó. Nhưng nếu giả sử kẻ gian khi bắt chặn được tài liệu T, thay đổi nội dung của T rồi gửi đi thì người nhận B không phát hiện được sự thay đổi đó. Nhận xét: Dùng phương pháp mã hóa hay giấu tin để bảo toàn dữ liệu chỉ thực hiện được trường hợp 2 của bảo toàn dữ liệu, tức là không cho phép kẻ gian thay đổi nội dung của tài liệu T; nhưng lại không thực hiện được khả năng 1 đó là người nhận B không phát hiện được sự thay đổi nội dung của tài liệu T nếu tài liệu T bị thay đổi. 1.2.2. Dùng “chữ ký số” để bảo toàn dữ liệu Từ xa xưa con người đã biết dùng chữ ký tay để chứng minh nguồn gốc tài liệu của mình khi gửi đi. Ngày nay, với sự xuất hiện của chữ ký số, ngoài ý nghĩa để chứng thực nguồn gốc hay hiệu lực của các tài liệu số hóa, chữ ký số còn giúp người gửi bảo toàn dữ liệu của mình. Nếu dùng chữ ký số để bảo toàn dữ liệu T thì người gửi A phải gửi cả tài liệu T và chữ ký A’ của A cho người nhận B. Như vậy người nhận B sẽ nhận được tài liệu là 1 cặp tin (tài liệu + chữ ký ) = (T + A’), A’ = Sig(A’). Nếu kẻ gian chặn bắt được T, họ Nhóm 2 Page 5 An toànvà xác thực dữ liệu có thể thay đổi nội dung tài liệu T, thay đổi chữ ký và gửi cho B, nhưng khi nhận được tài liệu, B có thể phát hiện ra tài liệu T đã bị thay đổi. Hình 2: Chữ ký số trong bảo toàn dữ liệu Nhận xét: Dùng chữ ký số để bảo toàn dữ liệu chỉ thực hiện được khả năng 1 là người nhận B có thể phát hiện ra sự thay đổi nội dung của tài liệu T dựa vào chữ ký của A; tuy nhiên, phương pháp này không thực hiện được khả năng 2, tức là kẻ gian có thể thay đổi được nội dung của tài liệu T. 1.2.3. Dùng “thủy vân ký” để bảo toàn dữ liệu Thủy vân ký hay còn gọi là thủy vân số là quá trình sử dụng các thông tin (ảnh, chuỗi bít, chuỗi số) nhúng một cách tinh vi vào dữ liệu số (ảnh số, audio, video hay tài liệu văn bản) nhằm bảo toàn dữ liệu hay xác định thông tin bản quyền của tài liệu số khi gửi đi. Thủy vân số được chia thành 2 loại theo mức độ an toàn ứng với thuật toán sử dụng là: Thủy vân dễ vỡ và thủy vân bền vững. Trong thực tế người ta thường dùng thủy vân bền vững cùng thuật toán phức tạp hơn để độ bảo mật cao hơn. Nhóm 2 Page 6 An toànvà xác thực dữ liệu Nhóm 2 Page 7 An toànvà xác thực dữ liệu Hình 3: Kỹ thuật thủy vân số để bảo toàn dữ liệu Đặc điểm của kỹ thuật thủy vân số là: - Tính bền vững: Chất lượng của thuật toán phụ thuộc vào tính bền vững của thủy vân. Đặc biệt đối với thủy vân bền vững, yêu cầu quan trọng là thủy vân không bị thay đổi sau một số phép xử lý trên đối tượng được nhúng. Đối với ảnh số, các phép xử lý này có thể là phép nén thông tin, lọc, tính tiến, quay, làm sắc ảnh, xén ảnh,… - Tính vô hình: Đối với thủy vân ẩn thì mọi thuật toán đều cố gắng nhúng thủy vân sao cho chúng không bị phát hiện bởi người sử dụng. Thông thường đối với một thuât toán nếu tính bền vững cao thì tính vô hình kém và ngược lại, do đó cần có sự cân nhắc giữa tính bền vững và tính vô hình để đảm bảo thủy vân đạt được cả tính bền vững cũng như tính vô hình. - Tính bảo mật: Bảo mật đối với khóa, thủy vân sao cho nếu một ai đó không có quyền thì không thể dò được thủy vân và tài liệu. Dựa vào đặc điểm của thủy vân số mà người ta đã ứng dụng thủy vân số trong việc chứng minh bản quyền của tài liệu và bảo toàn dữ liệu. Nếu dùng thủy vân ký để bảo toàn dữ liệu cho tài liệu T thì người gửi A phải cho ẩn giấu vào tài liệu T một dấu hiệu đặc trưng của mình (giả sử dấu hiệu A’), biến T thành T1(trong đó, T1 chứa T và dấu hiệu mà A’ đã ẩn vào đó). Sau khi biến T thành T1 như trên, người gửi A sẽ chuyển T1 cho người nhận B thông qua mạng công khai. Khi B nhận được T1, B sẽ tiến hành tách A’ ra khỏi T1 và nhận lấy tài liệu gốc là T ban đầu. Giả sử kẻ gian bắt chặn được T1 nhưng sẽ không biết được nội dung của tài liệu gốc T. Nếu kẻ gian cố gắng tìm kiếm T bằng cách cố gắng tách 1 dấu hiệu nào đó ra khỏi tài liệu T1 thì khi người nhận B nhận được tài liệu sẽ không còn là T1 nữa mà là T2, B sẽ tiến hành tách A’ ra khỏi T2 nhưng không tách được vì T2 # T1. Do đó, người nhận B sẽ nhận ra sự thay đổi nội dung của tập tin T. Nhận xét: Dùng thủy vân ký để bảo toàn dữ liệu chỉ thực hiện được khả năng 1 là người nhận B phát hiện ra sự thay đổi của tập tin nhưng không thực hiện được khả năng 2 là vì kẻ gian vẫn thay đổi được nội dung của tập tin. 1.2.4. Dùng “hàm băm” để bảo toàn dữ liệu Hàm băm h là hàm 1 chiều (One – way Hash) và có đặc điểm sau: Nhóm 2 Page 8 An toànvà xác thực dữ liệu  Với tài liệu đầu vào (bản tin gốc) T, chỉ thu được giá trị băm duy nhất z = h(T)  Nếu dữ liệu trong bản tin T bị thay đổi hay bị thay hoàn toàn thành bản tin T1, thì giá trị băm h(T1) # h(T). Cho dù chỉ là 1 sự thay đổi nhỏ, ví dụ chỉ thay đổi 1 bit dữ liệu bản tin gốc T thì giá trị băm h(T) của nó cũng thay đổi. Điều này cõ nghĩa là: 2 thông điệp khác nhau, thì giá trị băm của chúng cũng khác nhau. Dựa vào đặc điểm này của hàm băm, ta tiến hành bảo toàn dữ liệu như sau: Người gửi A phải chuyển T và cả giá trị băm trên T là x cho B. Người nhận B sẽ nhận được cặp tin là (tài liệu, giá trị băm trên T) = (T, x), x = h(T) Người nhận B sẽ băm lại tài liệu T và nhận được giá trị băm là x’. Sau khi băm xong, ta sẽ tiến hành kiểm tra, nếu x’ # x thì chắc chắn là x đã bị thay đổi trên đường truyền tin, nếu x’ = x thì x được bảo toàn trên đường truyền. Dựa vào sự so sánh này B có thể biết được nội dung tập tin có bị thay đổi hay không. Nhận xét: Dùng hàm băm để bảo toàn dữ liệu chỉ thực hiện được khả năng 1 tức là B có thể phát hiện ra sự thay đổi của tài liệu T nhưng không thực hiện được khả năng 2 vì kẻ gian có thể thay đổi được nội dung tài liệu. 2. Bảo toàn dữ lịêu bằng kết hợp các phương pháp 2.1. Kết hợp Mã hóa hay Giấu tin với ký số hay thủy vân ký. Trong mục trước ta đã biết rằng mỗi công cụ có mặt mạnh và mặt yếu. Kết hợp các công cụ lại, sẽ nhận được các mặt mạnh của chúng, cụ thể như sau: Nhóm 2 Page 9 An toànvà xác thực dữ liệu - Phương pháp mã hóa hay giấu tin chỉ thực hiện được khả năng 2/ của bảo toàn dữ liệu x, tức là không cho phép kẻ gian thay đổi nội dung của x! Nhưng không thực hiện được khả năng 1/, tức là người nhận N không phát hiện được sự thay đổi nội dung của x. - Ngược lại, phương pháp ký số hay thủy vân ký chỉ thực hiện được khả năng 1/ của bảo toàn dữ liệu x, tức là có thể phát hiện được sự thay đổi nội dung của x ! Nhưng không thực hiện được khả năng 2/, tức là kẻ gian vẫn có thể thay đổi được nội dung của x. Kết hợp hai phương pháp trên, sẽ có được phương pháp thực hiện được cả khả năng 1/ và khả năng 2/ của việc bảo toàn dữ liệu x. (1/ N có thể phát hiện được sự thay đổi nội dung của x ) (2/ G có thể không cho phép kẻ gian thay đổi nội dung của x) 2.1.1. Kết hợp Mã hóa và Ký số: Người gửi G cần chuyển tài liệu x tới người nhận N trên mạng công khai. Nếu dùng “chữ ký số” để bảo toàn x, thì G phải chuyển x và cả chữ ký trên x là z cho N. Trước khi gửi cặp tin T= (tài liệu, chữ ký) = (x, z), (z = Sig (x)), G mã hóa T, sau đó mới gửi cho N. 2.1.2. Kết hợp Mã hóa với thủy vân ký: Nếu dùng “thủy vân ký” để bảo toàn x, thì G phải cho “ẩn giấu” vào x một “dấu hiệu đặc trưng” C của mình, như vậy x đã trở thành x’ (vật mang tin C) Sau đó G mã hóa x’ rồi mới gửi cho N qua mạng. 2.1.3. Kết hợp Giấu tin với kí số: Người gửi G cần chuyển tài liệu x tới người nhận N trên mạng công khai. Nếu dùng “chữ ký số” để bảo toàn x, thì G phải chuyển x và cả chữ ký trên x là z cho N. Trước khi gửi cặp tin T= (tài liệu, chữ ký) = (x, z), (z = Sig (x)), G giấu tin T rồi mới gửi cho N. Nhóm 2 Page 10 An toànvà xác thực dữ liệu 2.1.4 Kết hợp Giấu tin với thủy vân ký: Nếu dùng “thủy vân ký” để bảo toàn x, thì G phải cho “ẩn giấu” vào x một “dấu hiệu đặc trưng” C của mình, như vậy x đã trở thành x’ (vật mang tin C) Sau đó G giấu tin x’ rồi mới gửi cho N qua mạng. 2.2. Kết hợp Mã hóa hay Giấu tin với Hàm băm. - Phương pháp mã hóa hay giấu tin chỉ thực hiện được khả năng 2/ của bảo toàn dữ liệu x, tức là không cho phép kẻ gian thay đổi nội dung của x ! Nhưng không thực hiện được khả năng 1/, tức là người nhận N không phát hiện được sự thay đổi nội dung của x. - Ngược lại, phương pháp hàm băm chỉ thực hiện được khả năng 1/ của bảo toàn dữ liệu x, tức là có thể phát hiện được sự thay đổi nội dung của x ! Nhưng không thực hiện được khả năng 2/, tức là kẻ gian vẫn có thể thay đổi được nội dung của x. Kết hợp hai phương pháp trên, sẽ có được phương pháp thực hiện được cả khả năng 1/ và khả năng 2/ của việc bảo toàn dữ liệu x. 2.2.1 Kết hợp Mã hóa với hàm băm: Người gửi G cần chuyển tài liệu x tới người nhận N trên mạng công khai. Nếu dùng “hàm băm” để bảo toàn x, thì G phải chuyển x và cả giá trị băm của x là z cho N. Trước khi gửi cặp tin T= (tài liệu, đại diện TL) = (x, z), z = h(x), G mã hóa T, sau đó mới gửi cho N. 2.2.2. Kết hợp Giấu tin với hàm băm. Người gửi G cần chuyển tài liệu x tới người nhận N trên mạng công khai. Nếu dùng “hàm băm” để bảo toàn x, thì G phải chuyển x và cả giá trị băm của x là z cho N. Trước khi gửi cặp tin T= (tài liệu, đại diện TL) = (x, z), z = h(x), G giấu tin T, sau đó mới gửi cho N. Nhóm 2 Page 11 An toànvà xác thực dữ liệu 3. Ứng dụng trong thực tế về bảo toàn dữ liệu Bảo toàn thông tin luôn là vấn đề được ưu tiên hàng đầu với những người dùng internet hiện nay. Vì vậy có rất nhiều ứng dụng ra đời không ngoài mục đích đó. Sau đây là 1 vài ứng dụng đang được sử dụng, áp dụng các phương pháp bảo toàn dữ liệu ở trên: - Securing Email - Authentication System - Secure E-commerce - Virtual Private Network - Wireless Encryption - PGP 3.1.Tìm hiểu về Securing Email Để đảm bảo an toàn thông qua việc trao đổi thư điện tử hàng ngày, tiện ích Secure Gmail sẽ giúp người dùng mã hóa thông tin gửi đi trong email giúp cho độ bảo mật được tăng cường hơn. Bằng cách thức mã hóa thông tin gửi đi thành dạng văn bản bất kì, những thông tin được gửi đi khó lòng theo dõi được nếu như không có mật khẩu của người gửi cũng như ứng dụng giải mã. Tuy nhiên, việc gửi email mã hóa cũng có một vài nhược điểm cần nhắc tới đó là yêu cầu về trình duyệt cũng như những đoạn email mã hóa dễ bị liệt vào danh sách spam nếu như gửi cho nhiều người. Cách thức thực hiện những email mã hóa này rất đơn giản, trước hết bạn chỉ cần tải về ứng dụng Secure Gmail by Streak (lưu ý phải sử dụng trình duyệt Chrome để thực hiện thao tác này). Sau khi cài đặt xong tiện ích mở rộng, ở phần gửi email đi sẽ xuất hiện thêm hình ổ khóa bên cạnh nút gửi email. Click vào ổ khóa để gửi đi email mạng mã hóa sau đó nhập nội dung như bình thường. Nhóm 2 Page 12 An toànvà xác thực dữ liệu Biểu tượng ổ khóa sẽ xuất hiện bên tay phải nút soạn email mới. Sau khi nhập xong thông tin, ấn vào Send Encrypted để gửi đi email dưới dạng mã hóa. Sau khi click nút gửi đi, một cửa sổ mới sẽ xuất hiện yêu cầu người dùng nhập mật khẩu để giải mã đoạn thông tin gửi đi. Người gửi có thể gợi ý cho người nhận mật khẩu điền vào, những gợi ý này sẽ giúp rút ngắn công đoạn gửi mật khẩu đồng thời tạo sự bảo mật chặt chẽ hơn. Người nhận sẽ nhận được một chuỗi kí tự ngẫu nhiên, và để giải mã đoạn kí tự này, người nhận cũng cần cài đặt ứng dụng sau đó nhập mật khẩu giải mã để theo dõi được đoạn thông tin gửi đi. Sau khi hoàn thành những bước trên, bạn đã gửi thành công một email mã hóa rất an toàn. Nhóm 2 Page 13 An toànvà xác thực dữ liệu Đoạn thông tin người nhận nhìn thấy. 3.2. PGP  Giới tiệu chung về PGP Mã hóa PGP là một phần mềm máy tính dùng để mã hóa dữ liệu và xác thực. PGP là phục vụ cho việc mã hóa thư điện tử, phần mềm mã nguồn mở .PGP hiện nay đã trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ cũng như các cá nhân. Các ứng dụng của PGP được dùng để mã hóa bảo vệ thông tin lưu trữ trên máy tính xách tay, máy tính để bàn, máy chủ và trong quá trình trao đổ email hoặc chuyển file, chữ ký số…  Hoạt động của PGP Nhóm 2 Page 14 An toànvà xác thực dữ liệu PGP sử dụng kết hợp mật mã hóa khóa công khai và thuật toán khóa đối xứng cộng thêm với hệ thống xác lập mối quan hệ giữa khóa công khai và chỉ danh người dùng (ID). PGP sử dụng thuật toán mã hóa khóa bất đối xứng. Trong hệ thống này, người sử dụng đầu tiên phải có một cặp khóa: Khóa công khai và khóa bí mật. Người gửi sử dụng khóa công khai của người nhận để mã hóa một khóa chung (còn được gọi là khóa phiên) dùng trong các thuật toán mật mã hóa khóa đối xứng. Khóa phiên này chính là chìa khóa để mật mã hóa các thông tin gửi qua lại trong các phiên giao dịch. Có rất là nhiều khóa công khai của những người sử dụng PGP được lưu trữ trên mác máy chủ khóa PGP trên khắp thế giới. Một điều vô cùng quan trọng nữa là để phát hiện thông điệp có bị thay đổi hoặc giả mạo người gửi. Để thực hiện mục tiêu trên thì người gửi phải ký văn bản với thuật toán RSA hoặc DSA. Đầu tiên, PGP tính giá trị hàm băm của thông điệp rồi tạo ra chữ ký số với khóa bí mật của người gửi. Khi nhận được văn bản, người nhận tính lại giá trị hàm băm của văn bản đó đồng thời giải mã chữ ký số bằng khóa công khai của người gửi. Nếu hai giá trị này giống nhau thì có thể khẳng định là văn bản chưa bị thay đổi kể từ khi gửi và người gửi đúng là người sở hữu khóa bí mật tương ứng. Trong quá trình mã hóa cũng như kiểm tra chữ ký, một điều vô cùng quan trọng là khóa công khai được sử dụng thực sự thuộc về người được cho là sở hữu của nó. Nếu chỉ đơn giản download một khóa công khai từ đâu đó sẽ không đảm bảo được điều này. PGP thực hiện việc phân phối khóa thông qua thực chứng số được tạo nên bởi những kỹ thuật mật mã sao cho việc sửa đổi có thể dễ dàng bị phát hiện. Tuy nhiên chỉ điều này thôi thì vẫn chưa đủ vì nó chỉ ngăn chặn được việc sửa đổi sau khi chứng thực được tạo ra. Người dùng còn cần phải trang bị khả năng xem xét khóa công khai có thực sự thuộc về người chủ sở hữu hay không. Từ phiên bản đầu tiên. PGP đã có một cơ chế hỗ trợ điều này được gọi là mạng lưới tín nhiệm. Mỗi khóa công khai đều có thể được một bên thứ 3 xác nhận. OpenPGP cung cấp các chữ ký tin cậy có thể được sử dụng để tạo ra các nhà cung cấp chứng thực số (CA). Một chữ ký tin cậy có thể chứng tỏ rằng một khóa thực sự thuộc về một người sử dụng và người đó đáng tin cậy để ký xác nhận một khóa của mức thấp hơn. Một chữ ký có mức 0 tương đương với chữ ký trong mô hình mạng lưới tín nhiệm. Chữ ký ở mức 1 tương đương với chữ ký của một CA vì nó có khả năng xác nhận cho một số lượng không hạn chế chữ ký mức 0. Chữ ký ở mức Nhóm 2 Page 15 An toànvà xác thực dữ liệu 2 tương tự như chữ ký trong danh sách các CA mặc định trong Internet Explorer; nó cho phép người chủ tạo ra các CA khác PGP cũng được thiết kế với khả năng hủy bỏ hoặc thu hồi các chứng thực có khả năng đã bị vô hiệu hóa. Điều này tương đương với danh sách thực chứng bị thu hồi của mô hình hạ tầng khóa công khai. Các phiên bản PGP gần đây cũng hỗ trợ tính năng hạn của thực chứng. II. ĐẢM BẢO XÁC THỰC Khái niệm xác thực: - Theo nghĩa thông thường: xác thực là mọt chứng thực một cái gì đó(hoặc một người nào đó) đáng tin cậy, có nghĩa là những lời khai báo do người đó đưa ra hoặc về vật đó là sự thật. - Xác thực điện tử: xác thực trong an ninh máy tính là một quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) của phần truyền gửi thông tin trong giao thông liên lạc chẳng hạn như một yêu cầu đăng nhập. Phần gửi cần phải xác thực có thể là một người dùng một máy tính, bản thân một máy tính hoặc một chương trình máy tính. Việc xác thực là một cách để đảm bảo rằng người dùng chính là người mà họ nó họ là ai và người dùng hiện đang thi hành những chức năng trong một hệ thống và trên thực tế đó là nhười được ủy quyền để làm những việc đó. Nhóm 2 Page 16 An toànvà xác thực dữ liệu 1. Phân loại xác thực dữ liệu:  Cách 1: Phân loại theo đối tượng cần xác thực: có hai loại đối tượng chính: dữ liệu và thực thể. - Xác thực dữ liệu: xác thực dẽ liệu là một kiểu xác thực đảm bảo một thực thể được chứng thực là nguồn gốc tạo ra dữ liệu này ở một thời điểm nào đó, đảm bảo tính toàn vẹn dữ liệu. Ví dụ như văn bản, hình ảnh, âm thanh…. Bao gồm: + Xác thực thông điệp (Message Authentication). + Xác thực giao dịch (Transaction Authentication). + Xác thực khóa (Key Authentication). - Xác thực thực thể: xác thực thực thể là xác thực định danh của một đối tượng tham gia vào giao thức truyền tin. Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối.  Cách 2: Phân loại theo công việc cần xác thực: + Xác thực thông điệp (Message Authentication). + Xác thực giao dịch (Transaction Authentication). + Xác thực thực thể (Entity Authentication). + Xác thực khóa (Key Authentication).  Cách 3: Phân loại theo đặc điểm xác thực: + Xác thực bảo đảm định danh nguồn gốc (Identification of Source). + Xác thực bảo đảm toàn vẹn dữ liệu (Data Integrity). + Xác thực bảo đảm tính duy nhất (Uniqueness). + Xác thực bảo đảm tính phù hợp về thời gian (Timeliness). Tổng kết các loại xác thực: Type of Authentication Identification of Message Authentication Transaction Source Yes Yes Authentication Entity Authentication Yes Nhóm 2 Data Timeliness or Integrity Yes Yes Uniqueness Yes Page 17 Yes An toànvà xác thực dữ liệu Key Authentication Yes Yes - 2. Xác thực dữ liệu: 2.1. Xác thực thông điệp (Message Authentication): Xác thực thông điệp hay xác thực tính nguyên bản của dữ liệu là một kiểu xác thực đảm bảo một thực thể được chứng thực là nguồn gốc thực sự tạo ra dữ liệu này ở một thời điểm nào đó. Xác thực thông điệp bao hàm cả tính toàn vẹn dữ liệu nhưng không bảo đảm tính duy nhất và phù hợp về thời gian của nó. 2.2. Xác thực giao dịch (Transaction Authentication). 2.2.1 Khái niệm: Xác thực giao dịch là Xác thực dữ liệu cộng thêm việc đảm bảo tính duy nhất (Uniqueness) và sự phù hợp về thời gian (Timeliness) của nó. Xác thực giao dịch liên quan đến việc sử dụng các tham số thời gian (TVB – Time Variant Parameters). Transaction Authentication = Message Authentication + TVB Xác thực giao dịch mạnh hơn xác thực thông điệp do có thêm TVB. 2.2.2 Ví dụ: Một thông điệp gửi đi có thể bị chặn lại và phát lại (tương tự như việc đổi tiền bằng một bản sao của Séc). Để ngăn chặn tình huống này, người gửi và người nhận có thể gắn vào thông điệp nhãn thời gian hoặc số thông điệp. Số thông điệp là một con số được gắn vào thông điệp. Nó có thể chỉ dùng một lần duy nhất, giá trị không lặp lại hoặc dùng dưới dạng dãy số tuần tự (Sequence Numbers). Thám mã không có cách nào để biết được các bit của số này nằm ở vj trí nào trong thông điệp hoặc không thể biết cách thay đổi các bit để tạo ra dạng mã hóa cửa số tiếp sau hoặc không thể biết cách thay đổi các bít này mà không làm gián đoạn việc giải mã phần còn lại của thông báo. Số thông báo này khó có thể bị thay thế, thay đổi hay giả mạo. Người nhận phải duy trì việc đếm các số thông báo đã nhận được. Nếu ha người sử dụng một tập các số thì người nhận có thể biết được có thông báo nào trước Nhóm 2 Page 18 An toànvà xác thực dữ liệu thông báo hiện thời đã bị mất hoặc bị chậm trể vì số được mã hóa của thông điệp hiện thời phải lớn hơn số được mã hóa của thông báo trước. Nếu người gửi có nhiều thông báo thì có thể số thông báo sẽ quá dài. Vì thế, người ta thường đặt lại bộ đếm số thông báo trước khi nó đạt tờ giá trị lớn nào đó. Lúc này tất cả bên thu phải được thông báo rằng số thông báo được gửi tiếp theo sẽ được đặt lại về một số nhỏ (chẳng hạn 0). Nhãn thời gian (TimeStamp) là dấu hiệu về thời gian và ngày tháng lấy từ đồng hồ hệ thống hoặc đòng hồ địa phương. Bên gửi: gửi dữ liệu gắn TimeStamp đi. Bên nhân: nhận được dữ liệu, tiến hành lấy TimeStamp tại thời điểm hiện thời, trừ đi TimeStamp nhận được. Dữ liệu nhận được sẽ được chấp nhận nếu: - Độ lệch giữa 2 TimeStamp nằm trong khoảng chấp nhận được. - Không có thông báo nào có cùng TimeStamp được nhận trước đó từ cùng một người gửi. Điều này được thực hiện bằng cách bên nhận lưu giữ danh sách các TimeStamp từ người gửi để kiểm tra hoặc ghi lại TimeStamp gần nhất và chỉ chấp nhận TimeStamp có giá trị lớn hơn. Như vậy, bên nhận phải đồng bộ và bảo mật về thời gian rất chặt che với bên gửi, ngoài ra phải lưu trữ các TimeStamp. 2.3 Xác thực khóa (Key Authentication).  Xác thực không tường minh khóa (Implicit Key Authentication): Một bên được đảm bảo rằng chỉ có bên thứ hai (và có thể có thêm các bên tin cậy – Trusted Parties) là có thể truy cập được khóa mật.  Khẳng định (Xác nhận) khóa (Key Confirmation): Một bên được đảm bảo rằng bên thứ hai chắc chắn đã sở dữu khóa mật.  Xác thực tường minh khóa (Explicit Key Authentication): Bao gồm cả 2 yếu tố trên, nó chứng tỏ được định danh của bên có khóa đã cho. Chú ý: - Xác thực khóa tập trung vào định danh bên thứ hai có thể truy cập khóa hơn là giá trị của khóa. Khẳng định khóa lại tập trung vào giá trị của khóa. Ta gọi ngắn gọn Explicit Key Authentication là Key Authentication Nhóm 2 Page 19 An toànvà xác thực dữ liệu - Xác thực dữ liệu đã bao gồm tính toàn vẹn dữ liệu. Ngược lại thì không. + Đảm bảo xác thực nguồn gốc dữ liệu thì phải đảm bảo tính toàn vẹn dữ liệu. + Đảm bảo tính toàn vẹn dữ liệu thì phả đảm bảo xác thực nguồn gốc dữ liệu. 2.4. Xác thực nguồn gốc dữ liệu: Công cụ sử dụng: dùng chữ ký số, hàm băm, thủy vân ký. 2.5. Xác thực bảo đảm toàn vẹn dữ liệu: Công cụ được sử dụng: dùng chữ kỹ số, hàm băm, thủy vân ký, mã xác thực. 3. Xác thực thực thể 3.1 Khái niệm: Xác thực thực thể (hay Định danh thực thể) là xác thực định danh của một đối tượng tham gia giao thức truyền tin. Thực thể hay đối tượng có thể là người dùng, thiết bị đầu cuối,... Tức là: Một thực thể được xác thực bằng định danh của nó đối với thực thể thứ hai trong một giao thức, và bên thứ hai đã thực sự tham gia vào giao thức. 3.2 Phương pháp xác thực thực thể: 3.2.1 Xác thực dựa vào thực thể: Biết cái gì (Something known): “Biết cái gì” được dùng trong Giao thức định danh, đó là cơ chế hỏi – đáp. Một thực thể (Claimant) chứng tỏ định danh của nó đối với thực thể khác (Verifier) bằng cách biểu lộ hiểu biết về một thông tin mật liên quan nào đó cho Verifier, mà không bộc lộ bí mật của nó cho Verifier trong suốt giao thức. Cơ chế đó gọi là “Chứng minh không tiết lộ thông tin” Ví dụ: - Trong hệ thống (mạng) máy tính, cách thức thường gặp là sử dụng LoginID (Username)vàPassword. - Định danh cá nhân (personal identification number - PIN) Nhóm 2 Page 20
- Xem thêm -