®¹i häc th¸i nguyªn
Tr-êng ®¹i häc C¤NG NGHÖ TH¤NG TIN Vµ TRUYÒN TH¤NG
TRẦN THU HIỀN DỊU
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT
THƢ ĐIỆN TỬ TRÊN HỆ MÃ NGUỒN MỞ
LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH
th¸i nguyªn - n¨m 2014
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
LỜI CAM ĐOAN
Tôi cam đoan luận văn này là do bản thân nghiên cứu và thực hiện
theo sự hướng dẫn khoa học của thầy giáo TS. Hồ Văn Hƣơng.
Tôi hoàn toàn chịu trách nhiệm về tính pháp lý quá trình nghiên cứu
khoa học của luận văn này.
Thái Nguyên, ngày 29 tháng 09 năm 2014
Ngƣời cam đoan
Trần Thu Hiền Dịu
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
LỜI CẢM ƠN
Trước tiên em xin chân thành cảm ơn thày giáo TS.Hồ Văn Hƣơng
công tác tại Ban Cơ yếu Chính phủ đã tận tình hướng dẫn, giúp đỡ, chỉ
bảo và luôn tạo điều kiện cho em hoàn thành luận văn này.
Em xin chân thành cảm ơn các thày, các cô trong trường Đại Học
Công Nghệ Thông Tin và Truyền Thông Thái Nguyên và Viện Công
Nghệ Thông Tin đã giảng dạy, giúp đỡ và tạo điều kiện thuận lợi cho em
trong suốt thời gian học tập tại trường.
Em xin gửi lời cảm ơn tới các bác, các chú và các anh chị công tác
tại Công Ty ECOIT đã cho em một môi trường rất tốt để em được thực
tập, học hỏi trong suốt quá trình thực tập và nghiên cứu luận văn tốt
nghiệp.
Em đã cố gắng để hoàn thành luận văn trong phạm vi và khả năng
cho phép nhưng chắc chắn sẽ không tránh khỏi những khiếm khuyết. Em
rất mong nhận được sự cảm thông và tận tình chỉ bảo, nhận xét đóng góp
ý kiến quý báu của quý thày cô.
Thái Nguyên, ngày 29 tháng 09 năm 2014
Tác giả luận văn
Trần Thu Hiền Dịu
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
i
MỤC LỤC
Danh mục các từ viết tắt…………...……………...………………………..iii
Danh mục các hình vẽ…………………..………………………………..…iv
MỞ ĐẦU ................................................................................................................. 1
Chương 1. TỔNG QUAN VỀ AN TOÀN THƯ TÍN ĐIỆN TỬ...................... 4
1.1. Thư điện tử ...................................................................................... 4
1.1.1. Giới thiệu thư điện tử [11] ......................................................... 4
1.1.2. Tổng quan về thư điện tử ........................................................... 4
1.1.3. Cấu trúc thư điện tử ................................................................... 7
1.1.4. Các giao thức trong thư điện tử ................................................. 8
1.2. Các hình thức đe dọa tính an toàn của thông tin khi sử dụng Email ...... 10
1.2.1. Sự thiếu bảo mật trong hệ thống Email.................................... 10
1.2.2. Các nguy cơ trong quá trình gửi Email [9] .............................. 11
1.3. Hệ điều hành mã nguồn mở [3] ..................................................... 14
1.3.1. Giới thiệu chung về Linux ....................................................... 14
1.3.2. Các thành phần của Linux ....................................................... 15
1.3.3. Một số đặc điểm của hệ điều hành Linux ................................ 16
Chương 2. BẢO MẬT THƯ ĐIỆN TỬ DỰA TRÊN MÃ HÓA ................... 19
2.1. Cơ sở lý thuyết mật mã [1], [2], [4] ............................................... 19
2.1.1. Giới thiệu chung về mật mã ..................................................... 19
2.1.2. Hệ mật mã khóa công khai RSA .............................................. 22
2.1.3. Thuật toán băm ........................................................................ 23
2.1.4. Chữ ký số ................................................................................. 24
2.1.5. Chứng thư số............................................................................ 28
2.2. Bảo mật email với SSL và TLS [11] .............................................. 33
2.3.Bảo mật email với mã hóa khóa bất đối xứng (PGP và S/MIME) [11] 35
2.3.1. Giới thiệu về PGP và S/MIME ................................................ 35
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
ii
2.3.2. Khả năng tương thích với Email Client ................................... 36
2.3.3. Mã hóa và xác thực bằng PGP ................................................. 37
2.3.4. Mã hóa và xác thực bằng S/MIME .......................................... 39
2.4. Bảo mật email với PEM ................................................................. 40
2.5. Giải pháp bảo mật cho thư điện tử [7] ........................................... 41
Chương 3. XÂY DỰNG PHẦN MỀM DEMO BẢO MẬT THƯ TÍN ĐIỆN
TỬ .......................................................................................................................... 45
3.1. Giới thiệu hệ thống Zimbra Mail Server [14] ................................ 45
3.1.1. Zimbra Collaboration Suite ..................................................... 45
3.1.2. Quá trình cài đặt hệ thống Zimbra Mail Server ....................... 48
3.2. Phân tích thiết kế xây dựng hệ thống bảo mật thư điện tử trên
Zimbra Mail Server .............................................................................. 53
3.3. Hệ thống thư điện tử Zimbra ......................................................... 59
3.3.1. Khởi động hệ thống ................................................................. 59
3.3.2. Nạp public Key vào tài khoản.................................................. 60
3.3.3. Đăng nhập bằng eToken .......................................................... 62
3.3.4. Gửi thư mã hóa và giải mã ....................................................... 63
3.3.5. Gửi thư kèm chữ ký và xác thực .............................................. 65
KẾT LUẬN ........................................................................................................... 67
TÀI LIỆU THAM KHẢO ................................................................................... 68
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
iii
DANH MỤC CÁC TỪ VIẾT TẮT
CA
Certificate Authority
CRC
Cyclic Redundancy Check
DNS
Domain Name System
HĐH
Hệ điều hành
IMAP
Internet Message Access Protocol
MTA
Message Transfer Agent
MD
Message Digest
PGP
Pretty Good Privacy
PKI
Public Key Infrastructure
POP
Post Office Protocol
RA
Registration Authority
RSA
Rivest Shamir Adleman
SHA
Secure Hash Algorithm
SMTP
Simple Mail Transfer Protocol
SSL
Secure Socket Layer
S/MIME Secure/Multipurpose Internet Mail Extensions
TLS
Transport Layer Security
ZCS
Zimbra Collaboration Suite
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
iv
DANH MỤC CÁC HÌNH VẼ
Hình 2.1. Mô hình hệ mật mã khóa bí mật ......................................................... 20
Hình 2.2. Mô hình mã hóa khóa công khai ........................................................ 21
Hình 2.3. Lược đồ tạo chữ ký số ......................................................................... 26
Hình 2.4. Lược đồ kiểm tra chữ ký số ................................................................ 26
Hình 2.5. Mã hoá email bằng PGP...................................................................... 37
Hình 2.6. Xác thực email bằng PGP ................................................................... 38
Hình 2.7. Kết hợp mã hóa và xác thực email bằng PGP................................... 38
Hình 2.8. Mô hình Client/Server ......................................................................... 42
Hình 3.1. Giao diện trang đăng nhập của admin................................................ 50
Hình 3.2. Giao diện trang của admin .................................................................. 51
Hình 3.3. Giao diện trang đăng nhập cho user ................................................... 51
Hình 3.4. Giao diện trang webmail của user ...................................................... 52
Hình 3.5. Giao diện soạn thư ............................................................................... 52
Hình 3.6. Sơ đồ nạp eToken ................................................................................ 54
Hình 3.7. Sơ đồ đăng nhập bằng eToken ........................................................... 55
Hình 3.8. Sơ đồ mã hóa và giải mã thư............................................................... 56
Hình 3.9. Sơ đồ gửi thư kèm chữ ký và xác thực .............................................. 58
Hình 3.10. Đăng nhập vào hệ thống Zimbra bằng cách thông thường............ 60
Hình 3.11. Nạp public key của eToken vào tài khoản ...................................... 60
Hình 3.12. Nhập mã PIN của eToken ................................................................. 61
Hình 3.13. Khung thông báo tìm thấy Public key ............................................. 61
Hình 3.14. Hệ thống yêu cầu nhập mã pin của eToken .................................... 62
Hình 3.15. Đăng nhập thông qua eToken ........................................................... 62
Hình 3.16. Trang màn hình hiển thị sau khi đăng nhập .................................... 63
Hình 3.17. Gửi thư mã hóa .................................................................................. 63
Hình 3.18. Giải mã thư ......................................................................................... 64
Hình 3.19. Kết quả sau khi giải mã ..................................................................... 64
Hình 3.20. Gửi thư kèm theo chữ ký .................................................................. 65
Hình 3.21. Xác thực người gửi ............................................................................ 65
Hình 3.22. Kết quả xác thực ................................................................................ 66
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
1
MỞ ĐẦU
Lý do chọn đề tài
Trong những năm gần đây, Internet phát triển mạnh mẽ và đã trở
thành nền tảng chính cho sự trao đổi thông tin trên toàn cầu. Nhờ có
Internet mà việc trao đổi thông tin cũng được trở nên tiện lợi và nhanh
chóng hơn. Các thông tin nhạy cảm và quan trọng cũng được lưu trữ và
trao đổi dưới hình thức điện tử. Chính vì thế nguy cơ lừa đảo, can thiệp,
tấn công, phá hoại và ăn cắp thông tin ngày càng trở nên nghiêm trọng và
nhu cầu sử dụng mật mã càng cao. Mật mã không chỉ đơn thuần phục vụ
cho chính phủ, cho quân đội…mà nó còn được sử dụng cho mọi người để
đảm bảo tính riêng tư của mỗi người. Hiện nay, nhu cầu trao đổi thông tin
được phát triển rộng khắp, một trong những phương thức phổ biến nhất
trên Internet đó là thư điện tử (email), thư điện tử giúp mọi người sử dụng
máy tính kết nối Internet có thể trao đổi thông tin với nhau. Do đó, có một
số yêu cầu được đặt ra đối với việc trao đổi thông tin trên mạng:
- Bảo mật tuyệt đối thông tin trong giao dịch.
- Đảm bảo tính toàn vẹn của thông tin.
- Chứng thực được tính đúng đắn về pháp lí của thực thể tham gia
trao đổi thông tin.
Từ những yêu cầu trên vấn đề đặt ra là cần có phương pháp bảo mật
thông tin nhằm cải thiện an toàn trên Internet. Việc tìm ra giải pháp bảo
mật dữ liệu, cũng như việc chứng nhận quyền sở hữu của cá nhân là một
vấn đề luôn luôn mới. Bảo mật phải được nghiên cứu và cải tiến để theo
kịp sự phát triển không ngừng của cuộc sống.
- Làm thế nào để bảo mật dữ liệu?
- Làm sao để tin tức truyền đi không bị mất mát hay bị đánh tráo?
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
2
- Làm sao để người nhận biết được thông tin mà họ nhận được có
chính xác hay không? đã bị thay đổi gì chưa?
- Làm sao để biết được thông tin này do ai gửi đến? thuộc quyền sở
hữu của ai?
Những câu hỏi được đặt ra là một thách thức rất lớn đối với những
người nghiên cứu bảo mật. Có rất nhiều cách thức để bảo vệ thông tin trên
đường truyền, nhiều giải pháp được đề xuất như: Sử dụng mật khẩu, mã
hóa dữ liệu, hay giấu sự tồn tại của dữ liệu…cùng với sự phát triển của
các biện pháp bảo mật ngày càng phức tạp, thì các hình thức tấn công
ngày càng tinh vi hơn, do đó vấn đề là làm sao đưa ra một giải pháp thích
hợp và có hiệu quả theo thời gian và sự phát triển mạnh mẽ của khoa học
kỹ thuật.
Với mong muốn nghiên cứu tìm hiểu giải pháp bảo mật cho thư điện
tử em đã quyết định lựa chọn đề tài : “Nghiên cứu giải pháp bảo mật thư
điện tử trên hệ mã nguồn mở ”.
Đối tƣợng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu của đề tài:
- Tổng quan về thư điện tử
- Tìm hiểu về hệ điều hành mã nguồn mở
- Tìm hiểu về lý thuyết mật mã
- Tìm hiểu các giải pháp bảo mật thư điện tử
- Xây dựng ứng dụng chữ ký số trong bảo mật thư điện tử với hệ
thống thư điện tử Zimbra Mail Server.
Hƣớng nghiên cứu của đề tài.
Đề tài tập trung tìm hiểu, nghiên cứu về thư điện tử, xây dựng ứng
dụng chữ ký số trong bảo mật thư điện tử trên hệ thống Zimbra Mail
Server để ký số, mã hóa, giải mã và xác thực mail.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
3
Những nội dung chính nghiên cứu
Luận văn gồm 3 chương tập trung nghiên cứu những nội dung chính sau:
Chương 1. Tổng quan về an toàn thư tín điện tử
Chương 2. Bảo mật thư điện tử dựa trên mã hóa
Chương 3. Xây dựng phần mềm demo bảo mật thư tín điện tử
Ý nghĩa khoa học của đề tài
Xây dựng và triển khai ứng dụng chữ ký số trong bảo mật thư điện
tử tích hợp trên hệ thống thư điện tử Zimbra Mail Server: Cài đặt hệ thống
Zimbra Mail Server, tích hợp bảo mật trên hệ thống Zimbra gồm các
nhiệm vụ là gửi thư mã hóa, thư kèm chữ ký, giải mã thư mã hóa, và xác
thực người gửi.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
4
Chƣơng 1. TỔNG QUAN VỀ AN TOÀN THƢ TÍN ĐIỆN TỬ
1.1. Thƣ điện tử
1.1.1. Giới thiệu thư điện tử [11]
Để gửi một bức thư thông thường ta có thể mất một vài ngày với
một bức thư được gửi ở trong nước và nhiều thời gian hơn với bức thư
được gửi ra nước ngoài. Do đó, để tiết kiệm thời gian và tiền bạc nhiều
người đã sử dụng thư điện tử.
Thư điện tử được gửi đến người nhận rất nhanh, dễ dàng và rẻ hơn
nhiều so với sử dụng thư tay truyền thống.
Vậy thư điện tử là gì? nói một cách đơn giản, thư điện tử là một
thông điệp gửi từ máy tính này đến máy tính khác trên mạng máy tính và
mang nội dung cần thiết từ người gửi đến người nhận. Thư điện tử không
những có thể truyền gửi được chữ mà nó còn có thể gửi với file đính kèm
như hình ảnh, các công văn tài liệu, âm thanh, phim, các chương trình
phần mềm….
1.1.2. Tổng quan về thư điện tử
1.1.2.1. Electronic mail
Email là dịch vụ thư điện tử được sử dụng nhiều nhất hiện nay, trở
thành một phương tiện trao đổi thông tin không thể thiếu. Sự nhanh chóng,
tiện lợi và đặc biệt là miễn phí hoặc rất rẻ đã khiến email trở thành một “huyết
thanh điện tử”, sự xuất hiện email được đánh giá là dẫn đến cuộc cách mạng
trong kinh doanh. Dường như không một doanh nghiệp nào trên thế giới
không dùng email trong các công việc kinh doanh của mình.
Một email không có gì đơn giản hơn là một “thông điệp chữ”, một
đoạn văn bản được gửi cho người nhận.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
5
1.1.2.2. Mail client
Email client mang bốn đặc điểm sau:
- Cho bạn thấy một danh sách các message trong hộp thư của bạn
bằng cách hiển thị phần message header (đầu mục của thư). Message
header này chỉ cho bạn ai đã gửi message, tiêu đề của message, những
thông tin khác như thời gian gửi, thời gian nhận, kích cỡ ….
- Cho phép bạn chọn và đọc nội dung của một message.
- Cho phép bạn tạo một message mới và gửi nó đi. Bạn nhập vào
địa chỉ người gửi, tiêu đề và nội dung của message.
- Hầu hết các email client cho phép đính kèm file, văn bản, hình
ảnh, video..vào message gửi đi và lưu những đính kèm khác từ message
nhận được. Những email client phức tạp còn có thể có những chức năng
khác như: Chat, gọi video. Nhưng nói chung về bản chất, đấy là tất cả
những gì mà một email client có.
1.1.2.3. Máy chủ Mail và tìm hiểu quá trình gửi và nhận mail
Bạn đã có email client trên máy tính của bạn, bạn đã sẵn sàng để
gửi và nhận email. Tất cả điều bạn cần bây giờ là có một máy chủ thư
điện tử để các email client kết nối đến.
Những hệ thống máy tính trên Internet có thể chạy những phần
mềm ứng dụng được gọi là server (máy chủ, máy phục vụ). Chúng gồm
những loại server như web server (máy chủ web), FPT server (máy chủ
truyền file), telnet server (máy chủ telnet) và email server (máy chủ thư
điện tử)… Những máy chủ này chạy suốt ngày suốt đêm và kiểm tra
những cổng đặc biệt, chờ đợi những chương trình kết nối vào cổng đó.
Một máy chủ email đơn giản nhất sẽ làm những việc như sau:
Máy chủ email sẽ có một danh sách tài khoản email, với mỗi tài
khoản ứng với mỗi người có thể nhận email trên máy chủ. Nó sẽ có một
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
6
file văn bản ứng với mỗi tài khoản trong danh sách. Nếu một ai đó muốn
gửi một message ngắn, khi người đó nhấn nút gửi, email client sẽ kết nối
tới các máy chủ thư điện tử và chuyển cho máy chủ tên của người nhận,
tên của người gửi và nội dung của bức thư. Máy chủ sẽ định dạng đoạn
văn bản ngắn này và gắn nó vào phần cuối của bức thư. Phần thêm vào
của file sẽ có định dạng như ví dụ sau:
From : abc
To: hiendiu
Hiendiu,
Chủ nhật này đi chơi nhé.
Abc
Có một vài thông tin mà máy chủ thư điện tử phải lưu vào trong file
như thời gian nhận và dòng tiêu đề, nhưng nhìn chung chúng ta có thể
thấy rằng đây là một quá trình gửi thư đơn giản.
Khi những người khác gửi message, máy chủ thư điện tử sẽ đơn
giản là gán tiếp những bức thư đó vào phần cuối của file bức thư ban đầu.
File văn bản sẽ bao gồm một nhóm 5 hoặc 10 bức thư và cuối cùng người
nhận sẽ truy cập vào và đọc chúng. Khi người nhận muốn đọc thư, email
client sẽ kết nối với máy chủ trong một tiến trình đơn giản nhất mà email
client sẽ:
- Hỏi máy chủ để gửi một bản sao của file.
- Hỏi máy chủ để xóa và điều chỉnh lại file.
- Lưu file trên máy tính cục bộ.
- Phân tích file ra từng bức thư riêng biệt (tìm từ “ Form” để tách
các bức thư).
- Hiển thị cho người nhận tất cả các message header (đầu mục thư)
theo từng danh sách.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
7
Khi người nhận nhấp đúp chuột lên một đầu mục thư, trình duyệt sẽ
tìm nội dung của bức thư đó trong file để hiển thị lên.
Chúng ta thấy rằng đây là một hệ thống khá đơn giản, thật ngạc
nhiên những hệ thống máy chủ email trong thực tế bạn sử dụng hàng ngày
đều không phức tạp hơn.
1.1.3. Cấu trúc thư điện tử
Thư điện tử (email) được cấu tạo tương tự như những bức thư thông
thường và chia làm hai phần chính:
- Phần đầu (header): Chứa tên và địa chỉ của người nhận, tên và địa
chỉ của những người sẽ được chuyển đến, chủ đề của thư (subject). Tên và
địa chỉ của người gửi, ngày tháng của bức thư.
From: Địa chỉ của người gửi
To: Người gửi chính của bức thư
Cc : Những người đồng gửi (sẽ nhận được một bản copy thư)
Bcc : Những người cũng nhận được một bản- nhưng những người
này không xem được những ai được nhận thư.
Date : Thời gian gửi bức thư
Subject : Chủ đề của bức thư
Messages – ID mã xác định của thư (là duy nhất và được tự động
điền vào).
Reply – To: Địa chỉ nhận được phúc đáp
- Thân của bức thư (body): Chứa nội dung của bức thư.
Như khi gửi các bức thư bình thường bạn cần phải có địa chỉ chính
xác. Nếu sử dụng sai địa chỉ hoặc gõ nhầm địa chỉ, thì thư sẽ không thể
gửi đến người nhận và nó sẽ chuyển lại cho người gửi, và báo địa chỉ
không biết (address unknown).
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
8
Khi nhận được một thư điện tử, thì phần đầu (header) của thư sẽ
cho biết nó từ đâu đến, và nó đã được gửi đi như thế nào và khi nào. Nó
như việc đóng dấu bưu điện.
Không như những bức thư thông thường, những bức thư thông
thường được để trong phong bì còn thư điện tử thì không được riêng tư
như vậy mà nó như một tấm thiếp postcard. Thư điện tử có thể bị chặn lại
và bị đọc bởi những người không được quyền đọc. Để tránh điều đó và
giữ bí mật chỉ có cách mã hóa thông tin gửi trong thư.
1.1.4. Các giao thức trong thư điện tử
1.1.4.1. Các giao thức mail thông dụng
Cũng như bất kỳ một dịch vụ nào liên quan tới máy tính, thư điện tử
đòi hỏi một ngôn ngữ chung cho việc truyền thư trên Internet, ngôn ngữ
đó được nói đến như là một giao thức được dùng để truyền thông giữa các
mail server với nhau hoặc giữa MTA (Message Transfer Agent) với mail
server. SMTP (Simple Mail Transfer Protocol) là một giao thức phổ biến
nhất trong việc gửi thư, trong việc nhận thư thì phải kể đến là hai giao
thức POP (Post Office Protocol) và IMAP (Internet Message Access
Protocol).
1.1.4.2. Giao thức SMTP
SMTP là một giao thức được sử dụng rộng rãi cho việc gửi mail,
chuẩn này hiện thực hệ thống Store and Forward (lưu trữ và vận chuyển).
SMTP được MTA sử dụng trong việc truyền thư của người gửi đến mail
server của người nhận hoặc từ mail server này đến mail server khác. Kết
quả là mail được gửi sẽ nằm trong mailbox trên mail server của người
nhận, SMTP được dùng để gửi mail, không dùng để nhận mail. SMTP bao
gồm một tập các câu lệnh đơn giản được dùng để khai báo các thông tin
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
9
cần thiết trong việc gửi mail như là địa chỉ người nhận, người gửi và dữ
liệu thực tế ứng với các lệnh Mail, Rcpt và Data.
Đặc biệt, giao thức SMTP không đòi hỏi phải xác nhận người gửi là
ai, do đó bất kỳ ai trên Internet cũng có thể gửi email đến một người hoặc
thậm chí một nhóm người nào đó, đây là lý do vì sao lại xuất hiện thư nặc
danh, thư quảng cáo trong hộp thư của chúng ta.
1.1.4.3. Giao thức POP
Nhiệm vụ của POP là lấy mail từ mailbox về khi nào người nhận muốn.
Đặc điểm của hệ thống dùng POP là: Cho phép người sử dụng đăng
nhập vào mail server với tài khoản và mật mã, sau đó nhận các mail từ
mailbox của mình trên mail server về quản lý trên máy cục bộ của người
sử dụng, thường sau khi lấy thư về thì thư đó sẽ bị xóa trên server.
Phiên bản hiện nay của POP là POP3 và đang được sử dụng rất phổ
biến nhờ vào những ưu điểm như các mail được lấy về máy cục bộ nên
khi đọc mail thì không cần phải kết nối Internet và giảm đáng kể không
gian lưu trữ trên Mail server. POP3 định nghĩa 3 giai đoạn tạo thành POP
seesion:
- Giai đoạn 1: là giai đoạn xác định tính hợp pháp của người nhận mail.
- Giai đoạn 2: là giai đoạn giao dịch giữa PC và mail server.
- Giai đoạn 3: là giai đoạn đóng kết nối hiện hành.
POP cũng có những hạn chế như bạn không thể đọc mail bởi nhiều
máy khác nhau, ví dụ như một nhân viên văn phòng đã duyệt mail ở một
máy nào đó trong văn phòng thì họ không thể duyệt những mail đó một
lần nữa tại nhà vì những mail đó đã được lấy về máy tại văn phòng và
không còn trên mail server nữa. Vấn đề trên sẽ được giải quyết nếu sử
dụng giao thức IMAP để duyệt mail.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
10
1.1.4.4. Giao Thức IMAP
IMAP cho phép bạn duyệt mail trực tiếp ngay trên mail server mà
không phụ thuộc bạn sử dụng máy tính nào để duyệt mail. Điều đó cho
thấy bạn có thể duyệt mail ở bất cứ đâu, bằng bất cứ máy tính nào nhưng
cũng vẫn có hạn chế đó là nếu bạn không thể kết nối Internet hay chất
lượng đường truyền quá xấu thì bạn không thể duyệt mail được. Phiên bản
hiện nay của IMAP là IMAP4, vì việc thực hiện giao thức IMAP rất phức
tạp cho nên IMAP không được dùng rộng rãi bằng POP.
Tóm lại, mỗi giao thức POP và IMAP đều có ưu điểm và khuyết
điểm riêng nên tùy vào các điều kiện cụ thể mà sử dụng cho thích hợp.
1.2. Các hình thức đe dọa tính an toàn của thông tin khi sử dụng Email
1.2.1. Sự thiếu bảo mật trong hệ thống Email
Webmail : Nếu kết nối với Webmail server là không an toàn, lúc đó
mọi thông tin bao gồm username và password không được mã hóa khi nó
từ Webmail server tới máy tính.
SMTP: SMTP không mã hóa thông điệp, mọi kết nối giữa SMTP
servers gửi thông điệp của bạn dưới dạng chữ cho mọi kẻ nghe trộm thấy.
Thêm vào đó, nếu Email server yêu cầu bạn gửi username và password để
“login” vào SMTP server mục đích để chuyển thông điệp tới một server
khác, khi đó tất cả đều được gửi dưới dạng chữ, mục tiêu để nghe trộm. Cuối
cùng, thông điệp gửi bằng SMTP bao gồm thông tin về máy tính mà chúng
được gửi đi, và chương trình email này đã được sử dụng. Những thông tin
này sẵn sàng cho mọi người nhận, có thể mang tính chất cá nhân.
POP và IMAP: Giao thức POP và IMAP yêu cầu bạn gửi username
và password để login, đều không được mã hóa. Vì vậy, thông điệp của
bạn có thể được đọc bởi bất kì kẻ nào đang nghe lén thông tin của máy
tính cũng như nhà cung cấp dịch vụ email của bạn.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
11
Backups: Thông điệp được lưu trữ trên SMTP server dưới dạng
chữ, không được mã hóa. Việc sao lưu dữ liệu trên server có thể được
thực hiện bất cứ lúc nào và người quản trị có thể đọc bất kỳ dữ liệu nào
trên máy tính.
1.2.2. Các nguy cơ trong quá trình gửi Email [9]
Khi truyền thông tin trên mạng chúng ta có thể bị Hacker tấn công
bằng hình thức chủ động hoặc thụ động để lấy cắp thông tin.
Tấn công thụ động là tìm hiểu hoặc sử dụng thông tin từ hệ thống
nhưng không ảnh hưởng tới tài nguyên của hệ thống.
Tấn công chủ động là cố gắng để thay đổi tài nguyên của hệ thống
hoặc ảnh hưởng đến hoạt động của hệ thống.
1.2.2.1. Tấn công thụ động
Các cuộc tấn công thụ động bản chất gần giống với việc ai đó ở
phòng kế bên đang nghe lén, hoặc giám sát, truyền tải. Mục tiêu của kẻ
tấn công là để có được thông tin đang truyền đi. Hai loại hình tấn công
của thụ động là phát lại các nội dung thông điệp và phân tích lưu lượng.
Việc phát lại các nội dung thông điệp được hiểu như sau: Một cuộc
trò chuyện điện thoại, một tin nhắn gửi qua thư điện tử và một tập tin gửi
đi có thể chứa thông tin nhạy cảm hoặc bí mật, người tấn công ngăn chặn
và sao chép nội dung của các nội dung truyền đi.
Loại thứ hai của tấn công thụ động, phân tích lưu lượng truy cập là
tinh vi hơn. Giả sử chúng ta có một cách để che giấu các nội dung của các
thông điệp để ngay cả khi người tấn công chiếm được tin nhắn cũng
không thể trích xuất các thông tin từ tin nhắn. Kỹ thuật phổ biến cho bảo
vệ nội dung là mã hóa. Nếu chúng ta có bảo vệ mã hóa tại chỗ thì người
tấn công vẫn có thể quan sát các mô hình của những tin nhắn này.
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
12
Người tấn công có thể xác định được vị trí và địa chỉ máy chủ và có thể
quan sát được tần số và độ dài của tin nhắn được trao đổi, thông tin này có thể
có ích trong việc đoán bản chất của truyền thông đã được diễn ra.
Các cuộc tấn công thụ động rất khó để phát hiện, bởi vì chúng
không liên quan đến bất kỳ sự thay đổi nào của dữ liệu. Thường thì lưu
lượng tin nhắn được gửi và nhận trong một thời gian dường như là bình
thường và không phải là người gửi nào cũng nhận biết được là có một bên
thứ 3 đã đọc thông điệp hoặc quan sát mô hình gửi.
Tuy nhiên, để ngăn chặn sự thành công của các cuộc tấn công
thường là sử dụng phương tiện mã hóa. Do đó, điểm nhấn trong đối phó
với các cuộc tấn công thụ động là phòng chứ không phải phát hiện.
1.2.2.2. Tấn công chủ động
Các cuộc tấn công liên quan đến một số thay đổi của các dòng dữ
liệu hoặc tạo ra một dòng sai, chúng được chia làm 4 loại:
- Mạo danh (masquerade): Mạo danh diễn ra khi một thực thể mạo
danh là thực thể khác.
Vd: Nam giả làm Mai gửi thông điệp cho Lan. Lan không biết và
nghĩ là thông điệp đó là của Mai.
- Phát lại thông điệp (replay): Phát lại thông điệp là sao chép lại
thông điệp và gửi lại bản sao này để tạo ra một hiệu ứng trái phép.Thoạt
đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều
trường hợp cũng có tác hại không kém so với việc giả mạo thông điệp.
Xét trường hợp sau: Giả sử Mai là nhân viên ngân hàng còn Hương
là một khách hàng. Hương gửi thông điệp cho Mai đề nghị chuyển cho
Nam số tiền là 10 triệu. Hương có áp dụng các biện pháp như chữ ký điện
tử với mục đích không cho Nam mạo danh cũng như sửa chữa thông điệp.
Tuy nhiên nếu Nam sao chép và phát lại thông điệp thì các biện pháp bảo
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
13
vệ này không có ý nghĩa. Mai tin rằng Hương gửi tiếp một thông điệp mới
để chuyển thêm cho Nam 10 triệu nữa.
- Thay đổi thông điệp (modification of mesages): Thay đổi thông điệp
là một phần của thông điệp hợp pháp bị thay đổi, bị trì hoãn hoặc sắp xếp lại.
Ví dụ: Một thông báo có nghĩa là “cho phép Mai đọc tập tin tài khoản bí
mật” được sửa đổi lại thành “cho phép Nam đọc các tài khoản bí mật tập tin”
- Từ chối dịch vụ (denial of service): Từ chối dịch vụ là ngăn chặn
hoặc cản trở sự sử dụng bình thường hoặc quản lý các cơ sở thông tin liên
lạc, cuộc tấn công này có thể có mục tiêu cụ thể.
Dịch vụ kiểm toán bảo mật là một hình thức khác của từ chối dịch
vụ là sự gián đoạn của toàn bộ mạng hoặc bằng cách vô hiệu hóa mạng
hoặc do quá tải.
Các cuộc tấn công chủ động trình bày các đặc điểm ngược lại với
các cuộc tấn công thụ động. Trong khi các cuộc tấn công thụ động khó
phát hiện thì các cuộc tấn công chủ động khá khó khăn để ngăn chặn.
Thay vào đó, phát hiện tấn công chủ động để phục hồi từ bất kỳ sự gián
đoạn hoặc chậm trễ bị gây ra. Nếu phát hiện được có tác dụng răn đe và
cũng có thể đóng góp cho công tác phòng chống.
1.2.2.3. Một số phương pháp tấn công hệ thông tin mã hóa
Bất cứ ai cũng có thể tạo ra một hệ thống thông tin mã hóa cho
riêng mình. Nhưng để có một hệ thống an toàn và hiệu quả đòi hỏi người
thiết kế phải có kiến thức toán học sâu sắc, có kinh nghiệm về bảo mật và
am hiểu các phương pháp tấn công.
- Brute – Force attack (exhaustive key search): Phương pháp tấn
công bằng cách thử tất cả những khóa có thể có, đây là phương pháp tấn
công thô sơ nhất và cũng khó khăn nhất. Theo lý thuyết, tất cả các thuật
toán hiện đại đều có thể bị đánh bại bởi Brute- Force nhưng trong thực
Số hóa bởi Trung tâm Học liệu
http://www.lrc-tnu.edu.vn/
- Xem thêm -
.PDF 
76 
1060 
89 
