Mã hóa và an ninh mạng ( Chapter 7)

Chương 7: Bảo mật dùng khoá đối xứng Fourth Edition by William Stallings Lecture slides by Lawrie Brown Bảo mật dùng khoá đối xứng Confidentiality using Symmetric Encryption Mã đối xứng truyền thống được dùng để giữ bí mật bản tin Xét kịch bản tiêu biểu Các máy trạm ở một mạng LAN truy cập vào các máy trạm và máy chủ ở một mạng LAN khác Các mạng được kết nối sử dụng chuyển mạch và đường truyền (switches/routers) Với các đường truyền vật lý hoặc liên kết vô tuyến/vệ tinh Tấn công trên mạng Tấn công trên mạng Xét việc tấn công và cách đặt mã trong kịch bản trên Điều tra từ một máy trạm khác Sử dụng kết nối đến mạng hoặc máy chủ đề tìm kiếm Sử dụng kết nối ngoài để xâm nhập và điều tra Theo dõi và/hoặc làm thay đổi việc truyền kết nối ngoài. Chỗ đặt mã Placement of Encryption Có hai phương pháp chính xác định chỗ đặt mã Mã kết nối (Link Encription) Mã xảy ra độc lập trên mỗi kết nối. Suy ra cần phải giải mã truyền tin giữa các kết nối Đòi hỏi nhiều thiết bị và các cặp khoá Mã đầu cuối (End to end Encription) AES là mã mới thay thế Mã xảy ra giữa điểm gốc và điểm đích Cần thiết bị tại mỗi đầu cuối và khoá chia sẻ Placement of Encryption Chỗ đặt mã Placement of Encryption Khi dùng mã đầu cuối cần phải để thông tin đầu của nó rõ ràng, vì như vậy mạng mới định hướng đúng đắn thông tin Vì vậy tuy nội dung tin được bảo vệ, nhưng khuôn dòng tin truyền thì không Lý tưởng là muốn bí mật cả hai Mã đầu cuối bảo vệ thông tin nội dung trên cả đường truyền và cung cấp danh tính Mã kết nối bảo vệ luồng truyền khỏi việc theo dõi. Chỗ đặt mã Placement of Encryption Có thể đặt mã ở nhiều tầng khác nhau trong mô hình OSI Mã kết nối thực hiện ở tầng 1 hoặc 2 Mã đầu cuối có thể thực hiện ở tầng 3, 4, 6, 7 (tuỳ sự tương thích của kiến trúc) Dịch chuyển đến tầng càng cao, càng ít thông tin được mã hoá, nhưng càng an toàn hơn tuy nhiên phức tạp hơn với nhiều đối tượng và khoá hơn. Encryption vs Protocol Level Thám mã thông tin truyền Traffic Analysis Là theo dõi dòng thông tin truyền giữa hai đối tác Được dùng cả trong quân sự và thương mại Có thể được dùng để tạo kênh giám sát Mã kết nối che lấp chi tiết đầu tin, nhưng xét trên toàn mạng và ở các đầu cuối nó vẫn nhìn thấy được Bộ đệm truyền có thể che được dòng tin, nhưng với phải truyền liên tục Phân phối khoáKey Distribution Sơ đồ đối xứng đòi hỏi cả hai đối tác chia sẻ khoá bí mật chung Vấn đề đặt ra là làm sao phân phối khoá mật này như thế nào Thông thường các hệ mật thường bị sập vì bị bẻ khoá trong sơ đồ phân phối khoá. Phân phối khoá Key Distribution Hai đối tác A và B cho trước có một số cách phân phối khoá khác nhau A lựa chọn khoá và truyền tay cho B Đối tác thứ ba có thể chọn khoá và phân phối cho A và B A và B trao đổi trước có thể dùng khoá trước để mã khoá mới A và B trao đổi mật với đối tác thứ 3 là C, C chuyển tiếp giữa A và B Phân loại khoáKey Hierarchy Thông thường khoá phân loại như sau: Khoá phiên (section key): Khoá tạm thời Dùng để mã hoá dữ liệu giữa nhóm người sử dụng Cho một phiên logic và sau đó bỏ đi (chống trì hoãn) Khoá chính (master key): Dùng để mã các khoá phiên Chia sẻ giữa người sử dụng và trung tâm phân phối khoá (dùng càng ít càng tốt) Kịch bản phân phối khoáKey Distribution Scenario Vấn đề phân phối khoá Key Distribution Issues Đối với mạng lớn đòi hỏi phân cấp Trung tâm phân phối khoá KDC, nhưng cần phải tạo tin cậy cho nhau Thời gian sống của khoá bộ phận cần được hạn chế để cho an toàn hơn Sử dụng phân phối khoá tự động thay mặt người dùng, nhưng phải có hệ thống tin cậy Sử dụng phân phối khoá phân tán Kiểm soát mục đích sử dụng khoá Tự động phân phối khoá 1. Máy chủ gửi gói yêu cầu kết nối FEP lưu gói và đề nghị KDC cấp khoá phiên sử dụng master key KDC cấp khoá kỳ cho 2 đầu cuối có thể dùng khoá master để mã Gói lưu được mã hoá bằng khóa phiên và gửi trên mạng Các số ngẫu nhiên Random Numbers Có nhiều ứng dụng của số ngẫu nhiên trong lý thuyết mã Khoá xác thực dùng trong các thủ tục xác thực chống trì hoãn Khoá bộ phận Sinh khoá công khai Khoá dòng cho bộ đệm một lần Trong nhiều trường hợp đặc biệt cần các giá trị này phải Ngẫu nhiên về mặt thống kê, có phân phối đều, độc lập Không đoán trước được các giá trị tiếp theo dựa vào các giá trị trước đó. Sinh số giả ngẫu nhiên Pseudorandom Number Generators (PRNGs) Dùng kỹ thuật thuật toán xác định để tạo số ngẫu nhiên Mặc dù không ngẫu nhiên thật Nhưng phải nhiều phép thử “tính ngẫu nhiên”. Được biết như những số giả ngẫu nhiên Có các bộ sinh số giả ngẫu nhiên PRNG Bộ sinh đồng dạng tuyến tính Kỹ thuật lặp chung được sử dụng là Xn+1 = (aXn + c) mod m Cho trước các số và tham số phù hợp có thể sinh ra dãy số tựa ngẫu nhiên khá dài Tiêu chuẩn phù hợp cần có là Hàm sinh ra giá trị lấp đầy chu kỳ Dãy sinh ra phải ngẫu nhiên Cài đặt hiệu quả với số học 32 bit Lưu ý rằng kẻ thám mã phải khôi phục lại dãy nếu cho trước một số ít các giá trị Sử dụng mã khối như bộ sinh số giả ngẫu nhiên Có thể sử dụng mã khối để sinh số giả ngẫu nhiên Sử dụng chế độ đếm Xi = EKm[i] Sử dụng chế độ đầu ra phản hồi Xi = EKm[Xi-1] • ANSI X9.17 PRNG Sử dụng thời gian – ngày tháng + một số thông tin mồi và mã 3 DES để sinh mồi mới và số ngẫu nhiên ANSI X9.17 PRG Bộ sinh Blum Blum Shub Dựa vào thuật toán mã khoá công khai Sử dụng bit ít quan trọng nhất từ đẳng thức sau xi = xi-12 mod n trong đó n=p.q, và các số nguyên tố p,q=3 mod 4 Không đoán trước được, trải qua bit tiếp theo Tính an toàn dựa trên độ khó của bài toán phân tích N ra thừa số Không đoán trước được nếu cho chạy truớc một số lần các bít Chậm, vì phải dùng các số rất lớn Rất chậm cho việc mã hoá, chỉ dùng cho việc sinh khoá. Sinh số ngẫu nhiên tự nhiên Natural Random Noise Nguồn tốt nhất là ngẫu nhiên tự nhiên trong thế giới thực Tìm một sự kiện gì đó thường gặp nhưng ngẫu nhiên Nói chung cần phải bằng cách nào đó thực hiện được, chẳng hạn: sóng radio, âm radio, nhiệt trong diot,… Bắt đầu quan sát cái gì xảy ra trong CPU mới. Vấn đề thiên lệch và phân bố không đều của các tín hiệu Tốt nhất chỉ sử dụng một số bit ồn nhất trong mỗi mẫu Cần phải bù đắp lại khi tạo mẫu và sử dụng Nguồn số ngẫu nhiên đã đăngPublished Sources Có một số ít sưu tầm về số ngẫu nhiên đã đăng Rand Co trong năm 1955 đã in hơn 1 triệu số ngẫu nhiên Được sinh sử dụng bánh quay số điện tử Đã được sử dụng trong thiết kế một số mã như Khafre Trước đó 1927 Tippet đã in một bộ sưu tập. Vấn đề ở chỗ: số lượng hạn chế Đa được biết trong nhiều ứng dụng Summary have considered: use and placement of symmetric encryption to protect confidentiality need for good key distribution use of trusted third party KDC’s random number generation issues