Kỹ thuật tấn công và phòng thủ trên không gian mạng - Kỹ thuật mã hóa

Institute of Network Security - istudy.ispace.edu.vn KỸ THUẬT TẤN CÔNG VÀ PHÕNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security - istudy.ispace.edu.vn NỘI DUNG • Module 1: Tổng quan An ninh mạng • Module 2: Kỹ thuật tấn công • Module 3: Kỹ thuật mã hóa • Module 4: Bảo mật hệ điều hành • Module 5: Bảo mật ứng dụng • Module 6: Virus và các loại mã độc • Module 7: Các công cụ phân tích an ninh mạng • Module 8: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa Institute of Network Security - istudy.ispace.edu.vn KỸ THUẬT TẤN CÔNG VÀ PHÕNG THỦ TRÊN KHÔNG GIAN MẠNG • Module 1: Tổng quan An ninh mạng • Module 2: Kỹ thuật tấn công • Module 3: Kỹ thuật mã hóa • Module 4: Bảo mật hệ điều hành • Module 5: Bảo mật ứng dụng • Module 6: Virus và các loại mã độc • Module 7: Các công cụ phân tích an ninh mạng • Module 8: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa Institute of Network Security - istudy.ispace.edu.vn MODULE 3: KỸ THUẬT MÃ HÓA • Lesson 1: Tổng quan mật mã học (Cryptography) • Lesson 2: Các phương pháp và thuật toán mã hóa • Lesson 3: Hàm băm và ứng dụng • Lesson 4: PKI (Public Key Infrastructure) • Lesson 5: Các bộ giao thức bảo mật: SSL và IPSec Institute of Network Security - istudy.ispace.edu.vn MODULE 3: KỸ THUẬT MÃ HÓA • Lesson 1: Tổng quan mật mã học (Cryptography) • Lesson 2: Các phương pháp và thuật toán mã hóa • Lesson 3: Hàm băm và ứng dụng • Lesson 4: PKI (Public Key Infrastructure) • Lesson 5: Các bộ giao thức bảo mật: SSL và IPSec Institute of Network Security - istudy.ispace.edu.vn Tổng quan mật mã học (Cryptography) Institute of Network Security - istudy.ispace.edu.vn Nội dung • Khái niệm về mật mã • Các thành tựu của mật mã học • Một số dạng mã hóa • Giới thiệu thuật toán mã hóa • Sự cần thiết của khóa (Key) trong thuật toán mã hóa • Giới thiệu về hàm băm Institute of Network Security - istudy.ispace.edu.vn Mật mã học là gì? • Mật mã học là những nghiên cứu và công nghệ nhằm mục đích bảo mật chuỗi dữ liệu bằng các phương pháp mã hóa. • Mã hóa là quá trình tái cấu trúc nội dung của dữ liệu, làm cho nó trở nên phức tạp, và che giấu nội dung thật sự. • Giải mã là quá trình chuyển đổi nội dung dữ liệu đã được mã hóa thành nội dung gốc trước khi mã hóa. • Plaintext là nội dung gốc. • Ciphertext là nội dung mới sau khi mã hóa. • mật mã bao gồm hai thành phần chính – Mã hóa đảm bảo tính bảo mật – Hàm băm đảm bảo tính xác thực Institute of Network Security - istudy.ispace.edu.vn Thành tựu của mật mã học Institute of Network Security - istudy.ispace.edu.vn Mật mã dạng thay thế • Mã hóa dạng thay thế thực hiện việc thay thế từng ky tự trong nội dung gốc bằng một ký tự khác. Ví dụ: a=e, c=f, b=g, … • Julius Caesar là người phát minh ra mật mã dạng thay thế, ngày nay còn gọi là mật mã Caesar. • Mã hóa dạng thay thế rất dễ bị phân tích và giải mã • Mật mã theo dạng thay thế tuần tự các ký tự Alphabet phức tạp hơn mật mã Caesar tuy nhiên vẫn có thể bị phân tích và giải mã nếu trong chuỗi ký tự có các điểm lặp lại. Institute of Network Security - istudy.ispace.edu.vn A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Mật mã Vigenère Institute of Network Security - istudy.ispace.edu.vn Attack tAkatc mã hóa Mật mã dạng dịch chuyển • Mật mã dạng dịch chuyển là thay đổi vị trí các ký tự trong nội dung của dữ liệu gốc. • Một số phương pháp mã hóa hiện đại vẫn sử dụng việc dịch chuyển ký tự như một phần trong thuật toán mã hóa. Ví dụ: DES, 3DES, … Institute of Network Security - istudy.ispace.edu.vn One-Time Pads (OTP) • OTP còn được gọi là mật mã Vernam. • OTP là dạng mật mã không thể bị phá vỡ hay phân tích vì khóa chỉ được sử dụng một lần duy nhất. • OTP thường ít được sử dụng. – Khóa một lần là một chuỗi dữ liệu được tạo ra một cách ngẫu nhiên nên việc tạo khóa rất phức tạp – Việc phân phối khóa cũng gặp nhiều khó khăn vì phải phân phối hai lần, một lần cho người gửi, và một lần cho người nhận • OTP thường được sử dụng giới hạn cho những dữ liệu tối mật. Institute of Network Security - istudy.ispace.edu.vn Thuật toán mã hóa • Thuật toán mã hóa là những phương thức nhằm biến đổi Plaintext thành Ciphertext. • Chức năng của thuật toán mã hóa: • Chống lại các cuộc tấn công đánh cắp và phân tích dữ liệu • Tạo ra khóa kích thước lớn và tiện dụng • Hiệu ứng phức tạp hóa - chỉ cần một sự thay đổi nhỏ trong Plaintext thì Ciphertext sẽ thay đổi hoàn toàn • Không dùng cho mục đích tấn công mạng • Một số thuật toán mã hóa: DES, 3DES, AES, … Institute of Network Security - istudy.ispace.edu.vn Mã hóa khối và mã hóa dòng (Block Cipher – Stream Cipher) • Mã hóa khối (Block Cipher) – Mã hóa từng khối dữ liệu Plaintext có chiều dài cố định thành khối dữ liệu Ciphertext có cùng chiều dài – Kích thước của khối phụ thuộc vào thuật toán mã hóa – Đệm bit (Padding) sẽ được dùng để thêm các bit 0, đảm bảo đúng kích thước các khối – Khối Ciphertext luôn có kích thước lớn hơn khối Plaintext Institute of Network Security - istudy.ispace.edu.vn 10100100 01011101 00100011 11101011 10010101 01001101 11001001 0001100 1011111 11010000 Plaintext Ciphertext Padding: 0000 Mã hóa Mã hóa khối và mã hóa dòng (Block Cipher – Stream Cipher) Institute of Network Security - istudy.ispace.edu.vn Mã hóa khối và mã hóa dòng (Block Cipher – Stream Cipher) • Mã hóa dòng (Stream Cipher) – Mã từng bit dữ liệu trong Plaintext – Kích thước dữ liệu không thay đổi khi mã hóa (không dùng Padding) – Cơ chế chuyển đổi các bit tùy thuộc vào quá trình mã hóa Institute of Network Security - istudy.ispace.edu.vn 111011010001011010110001011001111101100110010 010011011100110110010100101111010111010000101 Plaintext Ciphertext Mã hóa Mã hóa khối và mã hóa dòng (Block Cipher – Stream Cipher) Institute of Network Security - istudy.ispace.edu.vn Mã hóa Attacker: Tôi biết giải thuật Giải mã Mạng không bảo mật Alice Bob Giải mã Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Cipher text ----------------------- ----------------------- ----------------------- ----------------- ------------------- -------------------- Khóa (Key) • Chỉ sử dụng thuật toán mã hóa là chưa đủ đảm bảo độ an toàn dữ liệu. Institute of Network Security - istudy.ispace.edu.vn Mã hóa Giải mã Attacker: Tôi biết giải thuật nhưng không biết key  Mạng không bảo mật Alice Bob KEY KEY Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Cipher text ----------------------- ----------------------- ----------------------- ----------------- ------------------- -------------------- Khóa (Key) • Khóa được thỏa thuận giữa hai bên nhắm mục đích tăng tính bảo mật cho dữ liệu. Institute of Network Security - istudy.ispace.edu.vn Khóa (Key) • Khóa là một phần của thuật toán mã hóa. • Nếu xét về phương diện khóa, có hai dạng thuật toán mã hóa chính: – Thuật toán mã hóa đối xứng: Sử dụng cùng một khóa cho việc mã hóa và giải mã dữ liệu – Thuật toán mã hóa bất đối xứng: Sử dụng các khóa khác nhau cho việc mã hóa và giải mã dữ liệu Institute of Network Security - istudy.ispace.edu.vn Quản lý khóa • Quản lý khóa liên quan đến việc thiết lập cơ chế bảo mật, xác minh, lưu trữ và hủy các khóa. • Quản lý khóa được xem là việc khó nhất trong thiết kế hệ thống mật mã. • Quản lý khóa bằng những phương pháp bảo mật là rất quan trọng. • Trên thực tế, hầu hết các cuộc tấn công vào hệ thống mật mã thường nhằm vào chức năng quản lý khóa nhiều hơn là thuật toán mã hóa. Institute of Network Security - istudy.ispace.edu.vn Không gian khóa • Không gian khóa của một thuật toán mã hóa là tất cả những giá trị có thể có của khóa. • Khóa có kích thước n bit có thể thiết lập được 2n giá trị. • Hầu hết các thuật toán mã hóa có khóa yếu, tăng kích thước khóa sẽ làm tăng độ bảo mật của thuật toán. • Có thể xảy ra một số vấn đề về bảo mật nếu tự định nghĩa khóa. Institute of Network Security - istudy.ispace.edu.vn Kích thước khóa • Một hệ thống mã hóa tin cậy có thể bị tấn công Brute- force – Tấn công Brute-force dò tìm toàn bộ không gian khóa để tìm ra khóa đúng nên việc này mất rất nhiều thời gian – Trung bình phải tìm hơn một nửa số giá trị trong không gian khóa mới có được kế quả • Với các thuật toán hiện đại, cường độ bảo vệ dữ liệu mạnh hay yếu phụ thuộc rất nhiều vào chiều dài khóa với điều kiện: – Hệ thống mã hóa đáng tin cậy – Cơ chế quản lý khóa an toàn Institute of Network Security - istudy.ispace.edu.vn Kích thước khóa • Việc lựa chọn chiều dài khóa phụ thuộc vào một số yếu tố: – Độ nhạy cảm của dữ liệu mà khóa đang bảo vệ trong một chu kỳ nhất định nào đó – Hiệu năng của hệ thống mã hóa, kích thước khóa càng lớn, hiệu năng càng thấp • Kích thước khóa nhằm bảo vệ dữ liệu một cách thích hợp. Institute of Network Security - istudy.ispace.edu.vn Hàm băm Dữ liệu gốc có chiều dài thay đổi Dữ liệu băm có chiều dài cố định e3cc09aed24f4b Mã hóa theo phương thức băm dữ liệu • Băm dữ liệu dựa trên các hàm một chiều – Thường được sử dụng cho mục đích xác thực. – Biến đổi chuỗi dữ liệu gốc có chiều dài thay đổi thành chuỗi dữ liệu khác có chiều dài cố định. • Một số hàm băm phổ biến: MD5, SHA-1,… Institute of Network Security - istudy.ispace.edu.vn Tóm lược • Mật mã học là các nghiên cứu và công nghệ nhằm tìm ra phương thức bảo mật dữ liệu trong quá trình truyền thông. • Có hai dạng mã hóa: – Bảo mật dữ liệu thông qua thuật toán mã hóa – Xác thực dữ liệu thông qua hàm băm • Khóa là thành phần quan trọng trong quá trình mã hóa. • Kích thước khóa càng lớn, khóa càng phức tạp và khó tấn công giải mã. • Quá trình mã hóa có thể thực hiện trên khối hoặc thực hiện theo dòng. Institute of Network Security - istudy.ispace.edu.vn KỸ THUẬT TẤN CÔNG VÀ PHÕNG THỦ TRÊN KHÔNG GIAN MẠNG Institute of Network Security - istudy.ispace.edu.vn KỸ THUẬT TẤN CÔNG VÀ PHÕNG THỦ TRÊN KHÔNG GIAN MẠNG • Module 1: Tổng quan An ninh mạng • Module 2: Kỹ thuật tấn công • Module 3: Kỹ thuật mã hóa • Module 4: Bảo mật hệ điều hành • Module 5: Bảo mật ứng dụng • Module 6: Virus và các loại mã độc • Module 7: Các công cụ phân tích an ninh mạng • Module 8: Chính sách bảo mật và phục hồi thảm họa dữ liệu • Ôn tập • Báo cáo đồ án • Thi cuối khóa Institute of Network Security - istudy.ispace.edu.vn MODULE 3: KỸ THUẬT MÃ HÓA • Lesson 1: Tổng quan mật mã học (Cryptography) • Lesson 2: Các phương pháp và thuật toán mã hóa • Lesson 3: Hàm băm và ứng dụng • Lesson 4: PKI (Public Key Infrastructure) • Lesson 5: Các bộ giao thức bảo mật: SSL và IPSec Institute of Network Security - istudy.ispace.edu.vn Các phương pháp và thuật toán mã hóa Institute of Network Security - istudy.ispace.edu.vn Nội dung • Khái niệm về mật mã • Các thành tựu của mật mã học • Một số dạng mã hóa • Giới thiệu thuật toán mã hóa • Sự cần thiết của khóa (Key) trong thuật toán mã hóa • Giới thiệu về hàm băm Institute of Network Security - istudy.ispace.edu.vn Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Cipher text ----------------------- ----------------------- ----------------------- ----------------- ------------------- -------------------- Mã hóa Giải mã KEY Plain text ----------------------- ----------------------- ----------------------- --------- ------------------- ------------ Mã hóa đối xứng (Symmetric encryption) • Còn gọi là mã hóa khóa bí mật. • Sử dụng cùng một khóa cho cả quá trình mã hóa và giải mã. • Chiều dài khóa từ 40-256 bits. – Khóa trên 80 bits có thể xem là tin tưởng được – Khóa dưới 80 bits có thể xem là lỗi thời và cần sử dụng thuật toán mã hóa mạnh hơn • Một số thuật toán mã hóa đối xứng: DES, 2DES, 3DES, AES, SEAL, … Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: Cấu trúc Feistel • Hầu hết các thuật toán mã hóa đối xứng thường sử dụng qui tắc trong cấu trúc Feistel: – Thông tin gốc chia thành 2 phần P1 và P2 – P1 giữ nguyên không đổi – P2 được XOR với một hàm băm một chiều f (biến thiên bởi khóa) – Hai kết quả sau cùng đổi cho cho nhau • Một quá trình như vậy được gọi là một vòng • Sử dụng một vòng không đảm bảo sự an toàn nên người ta đã sử dùng nhiều vòng, tính bảo mật sẽ được tăng cường. Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: Tiến trình Feistel • Thông tin gốc được chia thành từng khối kích thước 2w bits. • Mỗi khối được chia tiếp thành 2 phần L (Left) và R (Right). • Từng phần L và R đưa qua n vòng xử lý giống nhau với cùng thao tác tại mỗi vòng: – Đưa R vào hàm f cùng khóa Ki – XOR kết quả với L – Hoán vị L và R Institute of Network Security - istudy.ispace.edu.vn ƒ LE0 RE0 K1 ƒ LE1 RE1 K2 ƒ LE15 RE15 K16 LE16 RE16 LEout REout 2w bits ƒ LD0 = RE16 K1 ƒ K2 ƒ K16 2w bits RD0 = LE16 LD1 = RE15 RD1 = LE15 LD15 = RE1 RD15 = LE1 LD16 = RE0 RD16 = LE0 LDout = RE0 RDout = LE0 Mã hóa đối xứng: Tiến trình Feistel Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: Mã hóa theo cấu trúc Feistel • Người ta đề ra tiêu chuẩn cho các thuật toán mã hóa dựa trên cấu trúc Feistel như sau: – Kích thước khối dữ liệu đầu vào – Chiều dài khóa – Số vòng lặp – Thuật toán sinh khóa phụ – Hàm f thực hiện tại mỗi vòng Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: DES (Data Encryption Standard) • DES sử dụng kỹ thuật mã hóa đối xứng được IBM phát triển vào năm 1975, khi đó gọi là Lucifer. • Thuật toán DES thực hiện một chuỗi thay thế và hoán vị khá an toàn, tuy nhiên chiều dài khóa ngăn, dễ bị tấn công Brute-force. • Thuật toán DES được thực nghiệm trong 35 năm và chưa tìm ra lỗ hổng sai sót nào. • Sử dụng khóa có chiều dài cố định 64 bits, tuy nhiên chỉ co 56 bits dùng cho việc mã hóa. – 8 bits còn lại để xét tính chẵn lẻ, trong đó bit cuối cùng luôn đánh dấu lẻ • Ứng dụng bảo mật sử dụng DES: SSL, IPSec, … Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: Thông số DES • Kích thước khối: 64 bits. • Chiều dài khóa: 56 bits. • Số vòng: 16. • Thuật toán sinh khóa: Kết hợp dịch trái và hoán vị. • Hàm f: kết hợp các phép XOR, hoán vị và thay thế (S- Box). • Thực thi: Tiến trình Feistel. Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: Các chế độ mã hóa của DES • DES khi sử dụng mã hóa khối (Block cipher) có hai chế độ: – ECB (Electronic Code Book): Mỗi khối Plaintext được mã hóa bằng khối Ciphertext tương ứng – CBC (Cipher Block Chaining): Sử dụng tiến trình Feistel • Chế độ CBC được sử dụng bới IPSec trong hầu hết các trường hợp • DES khi sử dụng mã hòa dòng (Stream cipher) có hai chế độ: – CFB (Cipher FeedBack): Tạo ra các khối mã hóa bằng cách tổng hợp và đồng bộ liên tục các dòng mã hóa – OFB (Output FeedBack): Khởi tạo một khói khóa dòng, sử dụng phép toán XOR với các khối Plaintext tạo ra Ciphertext Institute of Network Security - istudy.ispace.edu.vn ECB Dữ liệu chia thành 5 khối 64-bit Dữ liệu chia thành 5 khối 64-bit CBC Khóa khởi tạo Mã hóa đối xứng: DES ECB vs CBC Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: Sử dụng DES • Để bảo vệ dữ liệu tốt hơn, cần xét các lời khuyên sau: – Thay đổi nội dung khóa thường xuyên, tránh tấn công Brute- force – Trao đổi khóa giữa người gửi và người nhận trên một kênh kết nối bảo mật – Ưu tiên thực hiện DES theo chế độ CBC, việc mã hóa khối 64- bits phụ phải phụ thuộc vào khối trước đó • DES là một giao thức mã hóa yếu, nên sử dụng cho các dữ liệu nhỏ khi không có thuật toán thay thế nào khác. • DES thực hiệ rất nhanh và tốn ít tài nguyên phần cứng. Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: 3DES • 3DES về cơ bản dựa trên DES, tuy nhiên thực hiện trong 3 lần DES. • Sử dụng 2 hoặc 3 khóa khác nhau tạo ra chiều dài khóa 112 bits hoặc 168 bits. • 3DES rất khó bị tấn công Brute-force. • Tốn nhiều tài nguyên phần cứng. • 3DES được xem là một trong những thuật toán mã hóa đối xứng đáng tin cậy nhất. Institute of Network Security - istudy.ispace.edu.vn $1000 Mã hóa Giải mã Key K1 $%&@! Key K2 faded Mã hóa Key K3 2!11fd Mã hóa đối xứng: 3DES • Phương pháp 3DES-EDE: – Dữ liệu được mã hóa với khóa K1 – Kết quả này được giải mã tiếp bằng khóa K2 – Dữ liệu cuối dùng được mã hóa bằng khóa K3 • Nếu K1 = K3, chiều dài khóa là 112 bits. • Nếu k1, K2, K3 khác nhau, chiều dài khóa là 168 bits. Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: AES (Advance Encryption Standard) • AES được phát triển vào năm 1997 nhằm tìm ra một phương pháp mã hóa an toàn hơn thay thế cho DES. • Được xử lý và kiểm tra nghiêm ngặt ngay từ đầu bằng việc thử dùng tới 15 thuật toán khác nhau. • Rijndael, Twofish và RC6 cuối cùng đã được chọn. • NIST quyết định lấy Rijndael làm thuật toán mã hóa cho AES. Institute of Network Security - istudy.ispace.edu.vn Mã hóa đối xứng: AES (Advance Encryption Standard) • Mã hóa Rijndael được phát triển bởi Joan Daemen và Vincent Rijmen. • Thuật toán dựa vào kích thước khối và kích thước khóa. • AES hoạt động nhanh hơn 3DES khi chạy bằng phần mềm. • Hiện tại, AES dùng khóa 128-, 192-, 256-bits để mã hóa khối dữ liệu 128-, 192-, 256-bits. • A