Chương 3:

AN TOÀN MẠNG MÁY TÍNH

Giáo viên: ThS. Tạ Minh Thanh

E-mail: taminhjp@gmail.com

December 3, 2016 Học viện Kỹ thuật Quân sự 1

Khoa CNTT - An
 An ninh truyền tin người-người
-Kẻ trộm không hiểu được nội dung -Ăn trộm
-Thông điệp không bị sửa đổi -Sửa đổi
-Gửi đúng địa chỉ -Huỷ bỏ
-… -…

??????

"Thần tốc, thần tốc hơn nữa. Táo bạo, táo bạo hơn nữa. Tranh thủ từng giờ, từng
phút, xốc tới mặt trận, giải phóng miền Nam, quyết chiến và toàn thắng".
December 3, 2016 Học viện Kỹ thuật Quân sự 2
Khoa CNTT - An
 An toàn mạng máy tính
4.1 - An toàn mạng và các yêu cầu
4.2 - Mã hoá (cryptography)
4.3 - Chứng thực (authentication)
4.4 - Tính liêm chính và nguyên vẹn (integrity)
4.5 - Key Distribution and Certification
4.6 - Kiểm soát truy cập (access control): firewalls
4.7 - Tấn công mạng (network attacks)
4.8 - An ninh tại các tầng mạng

December 3, 2016 Học viện Kỹ thuật Quân sự 3

Khoa CNTT - An
Truyền tin an toàn trong mạng máy tính
• Alice, Bob, Trudy: các máy tính cụ thể, các dịch vụ cụ thể (web,
mail, DNS, bank…).
• Bob, Alice muốn “trò chuyện” bí mật; nạn nhân (victim) của Trudy
• Trudy (kẻ trộm) muốn và có thể nghe thấy, lưu lại, huỷ bỏ, sửa
đổi thông điệp, gửi thông điệp giả mạo.

(Bob’s girlfriend) (Alice’s boyfriend)

(Kẻ phá hoại)

December 3, 2016 Học viện Kỹ thuật Quân sự 4
Khoa CNTT - An
 Các yêu cầu về an toàn truyền tin
• Bí mật (confidentiality): msg truyền đi chỉ có sender
(sndr) và receiver (rcvr) hiểu được.
– sndr mã hoá msg
– rcvr giải mã msg
• Chứng thực (authentication): đảm bảo sndr và rcvr
đang trao đổi thông tin với đúng đối tượng (không bị giả
mạo).
• Tính liêm chính và nguyên vẹn (integrity): msg nhận
được không bị sửa đổi và nếu bị sửa đổi phải phát hiện
được; msg phải đảm bảo đến từ đúng sndr.
• Kiểm soát truy cập (access control):
– kiểm soát được sự truy nhập dịch vụ (firewalls).
– dịch vụ luôn sẵn sàng với người dùng hợp lệ.

December 3, 2016 Học viện Kỹ thuật Quân sự 5

Khoa CNTT - An
 Mã hoá (cryptography)

• Mã hoá (encryption): chuyển msg thành dạng khác mà chỉ có sndr và

rcvr hiểu được bằng cách giải mã (decryption).
• Khoá (key): thông tin sử dụng để mã hoá hay giải mã
– Khoá đối xứng (symmetric); khoá chia sẻ (shared): cả sndr và rcvr cùng biết.
– Khoá công khai (public): khoá dùng để mã hoá được công khai.

December 3, 2016 Học viện Kỹ thuật Quân sự 6

Khoa CNTT - An
 Mã hoá đối xứng
(SKC - Symmetric Key Cryptography)
• Mã Caesar: thay thế các ký tự của msg bởi ký tự đứng
sau nó k vị trí.
– Vd: k=1 thì ab, bc,…,za. Dễ mã hoá/giải mã
• Phương pháp thế (substitution): Dễ phá mã???
– thay thế ký tự theo bảng thay thế.(brute-force attack + sự
– mã Caecar là trường hợp đặc biệt.hiểu biết về victim và
ngôn ngữ tự nhiên)
• Ví dụ:

Bảng
thế

plaintext: bob. i love you. alice

Msg ciphertext: nkn. s gktc wky. mgsbc

December 3, 2016 Học viện Kỹ thuật Quân sự 7

Khoa CNTT - An
 SKC: DES
• DES: Data Encryption Standard
• Đưa ra bởi NIST (National Institute of Standard and Technology,
US).
• Khoá (key) là một số nhị phân 56-bit; dữ liệu (data) là số nhị phân
64-bit.
• Mức độ an toàn của DES:
– RSA Inc. 1997, msg = “Strong cryptography makes the world a safer
place” , khoá 56-bit. giải mã bằng brute-force: 4 tháng.
• Tăng độ an toàn của DES:
– cipher-block chaining: đầu ra của bộ 64-bit thứ j XOR với 64-bit vào kế
tiếp.
– mã hoá nhiều lần liên tiếp (3 lần  triple-DES: 3DES).
– Advanced Encryption Standard (AES):
• NIST cải tiến DES, 2001; Khoá: 128, 256, 512-bit;
• brute-force: 149 nghìn tỷ (trillion) năm đối với 1 giây để giải mã DES 56-bit key.

December 3, 2016 Học viện Kỹ thuật Quân sự 8

Khoa CNTT - An
 Basic DES operation

December 3, 2016 Học viện Kỹ thuật Quân sự 9

Khoa CNTT - An
Public Key Cryptography (PKC)
• Sử dụng khoá đối xứng (SKC):
– khoá mã và khoá giải mã giống nhau (khoá bí mật).
– sndr và rcvr cần phải thoả thuận trước khoá bí mật.
– nếu khoá dùng chung được gửi qua mạng thì cũng có
khả năng bị “ăn cắp”.
• Mã hoá sử dụng khoá công khai:
– mỗi bên (sndr, rcvr) sử dụng một cặp khoá (khoá mã
và khoá giải mã).
– khoá mã được công khai (PK - public key).
– khoá giải mã là bí mật (SK - secret key; sndr không
cần biết khoá này của rcvr).
– sndr không cần biết khoá bí mật của rcvr.

December 3, 2016 Học viện Kỹ thuật Quân sự 10

Khoa CNTT - An
 PKC (cont)

• KB+ : khoá công khai (khoá mã) của Bob

• KB- : khoá bí mật (khoá giải mã) của Bob
• Alice chỉ cần biết KB+ để mã hoá thông điệp m.
December 3, 2016 Học viện Kỹ thuật Quân sự 11
Khoa CNTT - An
 PKC (cont)
• Yêu cầu đối với PKC:
– Cần có hai “hàm” KB+ ( ) và KB- ( ) sao cho:

m = KB- (KB+ ( m))

– “Không thể” tìm ra KB- khi biết KB+
• Ví dụ:
– RSA (Rivest, Shamir, Adelson) algorithm
– Khoá công khai và khoá bí mật là các cặp
số nguyên.

December 3, 2016 Học viện Kỹ thuật Quân sự 12

Khoa CNTT - An
 RSA: Chọn khoá thế nào?
• Chọn hai số nguyên tố lớn p, q. (vd: 1024-bits);
• Tính n = pq, z = (p-1)(q-1);
• Chọn số e < n với e và z là hai số nguyên tố
cùng nhau.
• Chọn số d sao cho (e.d - 1) chia hết cho z
(e.d mod z =1).
• Từ đó, có:
– Khoá công khai: (n,e)
– Khoá bí mật: (n,d)

December 3, 2016 Học viện Kỹ thuật Quân sự 13

Khoa CNTT - An
 RSA: Encryption, decryption
• Mã hoá:
– m là dãy bit cần mã hoá
– c = me mod n
– c là mã hoá của m
• Giải mã:
– rcvr nhận được c
– m = cd mod n

December 3, 2016 Học viện Kỹ thuật Quân sự 14

Khoa CNTT - An
 RSA example
Bob chooses p=5, q=7. Then n=35, z=24.
e=5 (so e, z relatively prime).
d=29 (so ed-1 exactly divisible by z)

letter m me c = me mod n
encrypt:
l 12 1524832 17

d
decrypt:
c c m = cd mod n letter
17 481968572106750915091411825223071697 12 l

December 3, 2016 Học viện Kỹ thuật Quân sự 15

Khoa CNTT - An
 RSA: more
- + + -
K (K (m)) = m = K (K (m))
B B B B

sử dụng khoá công sử dụng khoá bí

khai trước mật trước

Thứ tự sử dụng khoá công khai và bí mật không

ảnh hưởng tới kết quả mã hoá/giải mã

December 3, 2016 Học viện Kỹ thuật Quân sự 16

Khoa CNTT - An
 An toàn mạng máy tính
4.1 - An toàn mạng và các yêu cầu
4.2 - Mã hoá (cryptography)
4.3 - Chứng thực (authentication)
4.4 - Tính liêm chính và nguyên vẹn (integrity)
4.5 - Key Distribution and Certification
4.6 - Kiểm soát truy cập (access control): firewalls
4.7 - Tấn công mạng (network attacks)
4.8 - An ninh tại các tầng mạng

December 3, 2016 Học viện Kỹ thuật Quân sự 17

Khoa CNTT - An
 Chứng thực
• Mục đích của chứng thực là đảm bảo chắc chắn đối
phương không bị giả mạo.
• Authentication Protocol – ap (textbook #1).
• ap1.0: Alice say “I’m Alice”

Failed
Bob không “nhìn
thấy” Alice trong
mạng máy tính (#
đời thực)

December 3, 2016 Học viện Kỹ thuật Quân sự 18

Khoa CNTT - An
 Authentication: ap2.0

Failed

• Alice says “I am Alice” và gửi kèm địa chỉ của mình để chứng minh:
gói tin của Alice có chứa IP của Alice (src addr).
• Trudy có thể tạo các gói tin giả mạo có chứa src addr là IP của Alice

December 3, 2016 Học viện Kỹ thuật Quân sự 19

Khoa CNTT - An
 Authentication: ap3.0

Failed

• Alice gửi kèm password để chứng minh.

• Trudy có khả năng “nghe” được password của Alice.
– Trudy ghi lại password rồi dùng nó để gửi cho Bob khi
bị hỏi password (record and playback).

December 3, 2016 Học viện Kỹ thuật Quân sự 20

Khoa CNTT - An
 Authentication: ap3.1
• Alice gửi kèm password đã được mã hoá (encrypted
password) để chứng minh.
• Trudy có khả năng “nghe” được password đã mã hoá của
Alice, nhưng không biết password là gì !!!
• Tuy nhiên, Trudy chẳng cần biết password của Alice làm gì, chỉ
cần password đã mã hoá là đủ.
Alice’s encryppted
“I’m Alice”
IP addr password

Alice’s
OK
IP addr

Alice’s encrypted
“I’m Alice”
IP addr password

December 3, 2016 Học viện Kỹ thuật Quân sự 21

Khoa CNTT - An
 Authentication: ap4.0
• Nonce: số ngẫu nhiên được Bob sử
dụng để “chứng thực” Alice.
• Mỗi lần cần chứng thực, Bob tạo ra một
nonce rồi gửi cho Alice, yêu cầu Alice
mã hoá (sử dụng khoá bí mật chung KA-
B) rồi gửi lại.

• Bob kiểm tra xem Alice mã hoá có đúng

không? để chứng thực.
• Trudy có thể ghi lại nhưng không thể
dùng lại do nonce là khác nhau với
mỗi lần chứng thực.
• Nhược điểm: khoá bí mật; liệu có thể
sử dụng khoá công khai???

December 3, 2016 Học viện Kỹ thuật Quân sự 22

Khoa CNTT - An
 Authentication: ap5.0

• Sử dụng nounce và mã hoá công khai.

December 3, 2016 Học viện Kỹ thuật Quân sự 23
Khoa CNTT - An
 ap5.0: lỗ hổng (security hole)

• Trudy giả mạo Alice.

• Alice và Bob có thể phát hiện ra việc giả mạo này sau một thời gian
(lần “nói chuyện” sau, vì thực tế lần trước Alice bị giả mạo).

December 3, 2016 Học viện Kỹ thuật Quân sự 24

Khoa CNTT - An
 Lỗ hổng ap5.0:
man-in-the-middle attack
• Trudy đứng ở
giữa, giả mạo Bob
với Alice và giả
mạo Alice với Bob.
• Rất khó phát hiện
vì Trudy luôn nhận
Tải bản FULL (51 trang): https://bit.ly/3uk5Jn0
được và giả mạo Dự phòng: fb.com/TaiHo123doc.net

các thông điệp.

• Giải pháp: Key
Distribution
Center.

December 3, 2016 Học viện Kỹ thuật Quân sự 25

Khoa CNTT - An
 An toàn mạng máy tính
4.1 - An toàn mạng và các yêu cầu
4.2 - Mã hoá (cryptography)
4.3 - Chứng thực (authentication)
4.4 - Tính liêm chính và nguyên vẹn (integrity)
4.5 - Key Distribution and Certification
4.6 - Kiểm soát truy cập (access control): firewalls
4.7 - Tấn công mạng (network attacks)
4.8 - An ninh tại các tầng mạng
Tải bản FULL (51 trang): https://bit.ly/3uk5Jn0
Dự phòng: fb.com/TaiHo123doc.net

December 3, 2016 Học viện Kỹ thuật Quân sự 26

Khoa CNTT - An
 Integrity
• Để đảm bảo dữ liệu được nguyên vẹn, có thể sử
dụng các phương pháp kiểm soát lỗi (checksum,
CRC…).
• Để kiểm tra được dữ liệu nhận được đến từ một
sndr cụ thể nào đó, sử dụng chữ ký điện tử
(chữ ký số - digital signature).
• Chữ ký thông thường: giống nhau với mọi msg.
• Chữ ký điện tử: phải khác nhau với các msg
khác nhau. 4025285

December 3, 2016 Học viện Kỹ thuật Quân sự 27

Khoa CNTT - An