Professional Documents
Culture Documents
Chương 6.
An toàn mạng máy tính
Đặng Xuân Hà
Computer Networking 2006
(http://www.hau1.edu.vn/it/dxha/courses/0506/comnet_k48th)
Dept. of SE, FIT, HAU1.
??????
"Thần tốc, thần tốc hơn nữa. Táo bạo, táo bạo hơn nữa. Tranh thủ từng giờ, từng
phút, xốc tới mặt trận, giải phóng miền Nam, quyết chiến và toàn thắng".
<dxha at hau1.edu.vn> 1
Chương 6. An toàn mạng máy tính 1-6/2006
<dxha at hau1.edu.vn> 2
Chương 6. An toàn mạng máy tính 1-6/2006
Mã hoá (cryptography)
SKC: DES
DES: Data Encryption Standard
Đưa ra bởi NIST (National Institute of Standard and Technology,
US).
Khoá (key) là một số nhị phân 56-bit; dữ liệu (data) là số nhị phân
64-bit.
Mức độ an toàn của DES:
¾ RSA Inc. 1997, msg = “Strong cryptography makes the world a safer place” ,
khoá 56-bit. giải mã bằng brute-force: 4 tháng.
Tăng độ an toàn của DES:
¾ cipher-block chaining: đầu ra của bộ 64-bit thứ j XOR với 64-bit vào kế tiếp.
¾ mã hoá nhiều lần liên tiếp (3 lần Æ triple-DES: 3DES).
¾ Advanced Encryption Standard (AES):
NIST cải tiến DES, 2001; Khoá: 128, 256, 512-bit;
brute-force: 149 nghìn tỷ (trillion) năm đối với 1 giây để giải mã DES 56-bit key.
<dxha at hau1.edu.vn> 3
Chương 6. An toàn mạng máy tính 1-6/2006
PKC (cont)
<dxha at hau1.edu.vn> 4
Chương 6. An toàn mạng máy tính 1-6/2006
PKC (cont)
Yêu cầu đối với PKC:
¾ Cần có hai “hàm” KB+ ( ) và KB- ( ) sao cho:
m = KB-
KB- (KB+ ( m))
¾ “Không thể” tìm ra KB- khi biết KB+
Ví dụ:
¾ RSA (Rivest, Shamir, Adelson) algorithm
¾ Khoá công khai và khoá bí mật là các cặp số nguyên.
Giải mã:
¾ rcvr nhận được c
¾ m = cd mod n
<dxha at hau1.edu.vn> 5
Chương 6. An toàn mạng máy tính 1-6/2006
RSA example
letter m me c = me mod n
encrypt:
l 12 1524832 17
d
decrypt:
c c m = cd mod n letter
17 481968572106750915091411825223071697 12 l
RSA: more
- + + -
K (K (m)) = m = K (K (m))
B B B B
<dxha at hau1.edu.vn> 6
Chương 6. An toàn mạng máy tính 1-6/2006
Chứng thực
Mục đích của chứng thực là đảm bảo chắc chắn đối
phương không bị giả mạo.
Authentication Protocol – ap (textbook #1).
ap1.0: Alice say “I’m Alice”
Failed
Bob không “nhìn
thấy” Alice trong
mạng máy tính
(# đời thực)
Authentication: ap2.0
Failed
Alice says “I am Alice” và gửi kèm địa chỉ của mình để chứng minh:
gói tin của Alice có chứa IP của Alice (src addr).
Trudy có thể tạo các gói tin giả mạo có chứa src addr là IP của Alice
Authentication: ap3.0
Failed
<dxha at hau1.edu.vn> 7
Chương 6. An toàn mạng máy tính 1-6/2006
Authentication: ap3.1
Alice gửi kèm password đã được mã hoá (encrypted password) để
chứng minh.
Trudy có khả năng “nghe” được password đã mã hoá của Alice,
nhưng không biết password là gì !!!
Tuy nhiên, Trudy chẳng cần biết password của Alice làm gì, chỉ cần
password đã mã hoá là đủ. Alice’s encryppted“I’m Alice”
IP addr password
Alice’s
OK
IP addr
Alice’s encrypted
“I’m Alice”
IP addr password
Authentication: ap4.0
Nonce: số ngẫu nhiên được Bob sử dụng để
“chứng thực” Alice.
Mỗi lần cần chứng thực, Bob tạo ra một
nonce rồi gửi cho Alice, yêu cầu Alice mã
hoá (sử dụng khoá bí mật chung KA-B) rồi
gửi lại.
Bob kiểm tra xem Alice mã hoá có đúng
không? để chứng thực.
Trudy có thể ghi lại nhưng không thể dùng
lại do nonce là khác nhau với mỗi lần
chứng thực.
Nhược điểm: khoá bí mật; liệu có thể sử
dụng khoá công khai???
Authentication: ap5.0
<dxha at hau1.edu.vn> 8
Chương 6. An toàn mạng máy tính 1-6/2006
<dxha at hau1.edu.vn> 9
Chương 6. An toàn mạng máy tính 1-6/2006
Integrity
Để đảm bảo dữ liệu được nguyên vẹn, có thể sử
dụng các phương pháp kiểm soát lỗi (checksum,
CRC…).
Để kiểm tra được dữ liệu nhận được đến từ một
sndr cụ thể nào đó, sử dụng chữ ký điện tử (chữ ký
số - digital signature).
Chữ ký thông thường: giống nhau với mọi msg.
Chữ ký điện tử: phải khác nhau với các msg khác
nhau.
<dxha at hau1.edu.vn> 10
Chương 6. An toàn mạng máy tính 1-6/2006
<dxha at hau1.edu.vn> 11
Chương 6. An toàn mạng máy tính 1-6/2006
<dxha at hau1.edu.vn> 12
Chương 6. An toàn mạng máy tính 1-6/2006
KDC
KA-KDC KB-KDC
KA-KDC
KB-KDC
? KT-KDC
KT-KDC
Alice, Bob (thậm chí cả Trudy, nếu đã đăng ký) đều có khoá bí mật
dùng để liên lạc với KDC: KA-KDC, KB-KDC
Bob và Alice sử dụng R1 làm session key. (KDC generate R1).
Trudy không thể biết R1.
CA
Mỗi user sẽ đăng ký khoá công khai với CA.
Mỗi khi Bob cần khoá công khai của Alice thì sẽ
không hỏi Alice mà hỏi CA.
¾ Lấy certificate của Alice
¾ Sử dụng CA’s public key để giải mã Æ Alice public
key.
<dxha at hau1.edu.vn> 13
Chương 6. An toàn mạng máy tính 1-6/2006
Firewall
<dxha at hau1.edu.vn> 14
Chương 6. An toàn mạng máy tính 1-6/2006
Application gateway
Nhược điểm của packet filtering
¾ không lọc được dữ liệu tầng ứng dụng
¾ không thiết lập được đặc quyền cho một vài người sử dụng trong
một số trường hợp (lọc mọi gói tin).
Application gateway:
¾ lọc các luồng dữ liệu của các ứng dụng
¾ lọc các luồng IP/UDP/TCP
Một số firewalls:
¾ Windows XP Personal firewall
¾ Microsoft ISA server (đa chức năng)
¾ Checkpoint
<dxha at hau1.edu.vn> 15
Chương 6. An toàn mạng máy tính 1-6/2006
A C
A C
<dxha at hau1.edu.vn> 16
Chương 6. An toàn mạng máy tính 1-6/2006
NET
Victim Attacker
<dxha at hau1.edu.vn> 17
Chương 6. An toàn mạng máy tính 1-6/2006
<dxha at hau1.edu.vn> 18