• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Các kỹ thuật dùng trong bảo mật

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Các kỹ thuật dùng trong bảo mật

    Các kỹ thuật bảo mật thường được dùng bao gồm: mã hóa đối xứng, mã hóa bất đối xứng, TLS/SSL, PKI (Public Key Infrastructure) và xác thực lẫn nhau.

    1. TLS/SSL
    Mã hóa dữ liệu trên đường truyền mạng máy tính đóng vai trò quan trọng trong an toàn thông tin. Ngày nay, giao thức TCP/IP được sử dụng rộng rãi trong môi trường mạng máy tính. Nhiều kỹ thuật mã hóa được xây dựng trên các lớp của giao thức mạng như kỹ thuật IPSec quan tâm đến mã hóa đường truyền đối với các gói tin ở tầng IP, kỹ thuật TLS/SSL (Transport Layer Security/Secure Socket Layer) quan tâm đến mã hóa đối với các phiên làm việc tương ứng tầng ứng dụng v.v… Tùy theo mục đích của người sử dụng, người ta chọn kỹ thuật mã hóa phù hợp với yêu cầu đặt ra. Ví dụ khi lựa chọn kỹ thuật mã hóa trong môi trường mạng riêng ảo (Virtual Private Network - VPN), IPSec và TLS/SSL đều được sử dụng. IPSec được dùng trong các đường truyền tốc độ cao, còn TLS/SSL được dùng khi trong phạm vi mạng diện rộng.
    TLS và SSL là hai giao thức hoạt động giống nhau, được sử dụng rộng rãi trong các dịch vụ mạng cơ bản của Internet và đóng vai trò mã hóa đường truyền theo phiên giao dịch. Phiên bản 3.0 của SSL ra đời năm 1996 do hãng Nescape công bố và là nền tảng hình thành phiên bản 1.0 của giao thức TLS do IETF định nghĩa trong RFC 2246 vào tháng 1/1999. Hiện nay, phiên bản 1.1 của TLS đã công bố và được mô tả trong RFC 4346. Mặc dù phiên bản 3.0 của SSL và phiên bản 1.0 của TLS có một vài điểm khác nhau, nhưng bản chất hoạt động giống nhau. Do đó, người ta thường dùng cụm từ TLS/SSL đi đôi với nhau và chỉ cần mô tả phương thức hoạt động của TLS.
    TLS đảm bảo các tính chất toàn vẹn, không bị giả mạo, không bị thay đổi thông tin bằng cơ chế xác thực và mã hóa dữ liệu. Giao thức này hoạt động theo mô hình client/server, thành phần server được ghi nhận xác thực, thành phần client không cần chứng nhận. Bên cạnh đó, giao thức cũng được dùng trong trường hợp xác thực lẫn nhau, tức là hai bên liên lạc cần biết đích danh lẫn nhau.
    Giao thức TLS hoạt động qua 3 giai đoạn:
    1. Thông báo cho nhau các thuật toán sử dụng trong mã hóa, hàm băm.
    2. Sử dụng phương pháp mã hóa bất đối xứng để trao đổi chìa khóa mã hóa dữ liệu (thường là mã hóa đối xứng).
    3. Dùng chìa khóa mã đối xứng để mã hóa dữ liệu.

    Các thuật toán mã hóa và hàm băm thường được sử dụng trong giao thức bao gồm:
    1. Mã hóa bất đối xứng: RSA, DSA, Diffie-Hellman.
    2. Mã hóa đối xứng: RC2, RC4, IDEA, DES, Triple DES, EAS và Camellia.
    3. Hàm băm : MD2, MD4, MD5 và SHA.

    Tóm lại, TLS/SSL là giao thức xây dựng trên môi trường mạng máy tính áp dụng các lợi điểm của kỹ thuật mã hóa đối xứng và bất đối xứng trong trao đổi thông điệp. Kỹ thuật này dược xem là không thể thiếu đối với các dịch vụ mạng cần bảo vệ thông tin khi truyền qua môi trường mạng công cộng.
    2. PKI
    PKI bao gồm các phần mềm, phần cứng tạo thành một kiến trúc cho phép xác thực đăng nhập bằng chứng thư điện tử, mã hóa và giải mã dữ liệu. Người dùng trên mạng có thể ký văn bản bằng chữ ký điện tử bằng sử dụng khóa riêng của mình và những người khác có thể kiểm chứng sự hợp lệ chữ ký của văn bản bằng cách sử dụng khóa công khai lấy từ chữ ký điện tử. PKI đảm bảo nhiều người liên lạc với nhau an toàn mà không cần phải thực hiện các thao tác trao đổi khóa trước khi mã hóa, truyền dữ liệu và giải mã.
    Certificate Authority-CA
    CA đóng nhiều vai trò và các nhiệm vụ cơ bản như sau:
    1. Thực thể xác định yêu cầu chứng nhận.
    2. Phát hành, hủy bỏ và lưu trữ chứng nhận.
    3. Bảo vệ máy chủ CA.
    4. Duy trì một tên duy nhất của chủ thể chứng nhận.
    5. Phục vụ đăng ký chứng nhận đối với thực thể muốn xác nhận.
    6. Ghi nhận các hoạt động.

    Trong vài môi trường PKI, quá trình đăng ký đăng nhập (Registrant Authority - RA) được kết hợp chung với CA. RA có nhiệm vụ chấp nhận hay từ chối các yêu cầu cấp chứng nhận khóa công khai và chuyển thông tin người dùng đến CA. RA chịu trách nhiệm xác nhận sự hợp lệ thông tin người dùng trước khi chứng chỉ điện tử được ký nhận và được gửi trở lại cho họ.
    Trước khi CA ký nhận và lưu trữ chứng nhận, CA thực hiện một số thao tác sau:
    1. CA phát sinh ngẫu nhiên một cặp khóa bất đối xứng.
    2. CA cất lại khóa riêng của mình.
    3. CA tạo chứng thư của mình.
    4. CA ký nhận chứng thư bằng khóa riêng của mình.
    Nếu các tài nguyên trên môi trường lưới muốn mã hóa dữ liệu đuờng truyền khi liên lạc, chúng cần phải có chứng thư được cấp từ CA. Tài nguyên môi trường lưới đăng ký với CA bằng chữ ký điện tử có mô tả thông tin của mình. Thông tin ghi nhận tại CA sẽ mô tả tài nguyên và gán chứng thư điện tử.[6]
    3. Khoá riêng của CA
    Khoá riêng của CA được dùng để ký vào tất cả những chứng thư trong môi trường lưới. Nếu có khoá riêng của CA, người có thể giả dạng mọi thành viên trong môi trường lưới. Chính vì vậy, khóa riêng CA đóng vai trò quan trọng trong sự an toàn của hệ thống và cũng là mục tiêu tìm kiếm của hacker. Máy chủ CA cần được bảo vệ cẩn thận, hạn chế sự truy cập vật lý, truy cập từ xa và quản lý chặt chẽ những truy cập vào máy chủ.
    Cấp chứng chỉ chéo (Cross Certification) của CA
    CA cung cấp những chứng thư cho những nhóm người cố định. Nếu hai công ty hay những tổ chức ảo cần phải liên lạc và tin tưởng lẫn nhau. Hai CA phải tin tưởng lẫn nhau bằng cách cấp chứng chỉ chéo. Ví dụ anh A, nhân viên thuộc công ty có sẵn CA riêng, cần thực hiện một công việc trên máy tính của anh B, là nhân viên bên ngoài tổ chức của anh A và có một CA khác. Những việc cần phải làm:
    1. A và B cần có chứng thư khoá công khai của nhau.
    2. B phải tin tưởng vào CA của A. A phải tin tưởng vào CA của B.

    Các máy tính thuộc các nhóm bảo mật khác nhau, hay các tổ chức ảo khác nhau phải tin tưởng vào các chứng thư lẫn nhau. Vì vậy, cần phải xây dựng mối liên hệ tin tưởng lẫn nhau của các CA. Mục đích của quá trình tạo mối liên hệ tin tưởng lẫn nhau nhằm dể dàng mở rộng môi trường lưới. Khi mối liên hệ đã được thiết lập, các CA có thể làm việc chung với nhau như trong cùng môi trường lưới.
    Quản lý CA
    Các chức năng CA trong kiến trúc quản lý khóa công khai có thể được xây dựng bởi những phần mềm đơn giản có đầy đủ chức năng của CA. Tuy nhiên, khi áp dụng vào môi trường thực tế, chúng ta cần quan tâm đến các phần mềm CA đã được thương mại hóa để đảm bảo trách nhiệm người quản lý CA.
    Chứng thư điện tử
    Chứng thư điện tử có cấu trúc dữ liệu bao gồm khóa công khai và những thông tin chi tiết mô tả người chủ sở hữu. Chứng thư điện tử được xem như mã số điện tử nhằm chống lại sự giả mạo sau khi được ký nhận bởi CA trong môi trường lưới.
    Chứng thư X.509 thường được sử dụng khi nhắc đến chứng thư điện tử, cơ chế hoạt động tương tự như hộ chiếu, trong đó cung cấp thông tin xác định tài nguyên trong môi trường lưới. Tuy nhiên, khác biệt giữa chứng thư điện tử và hộ chiếu trong cách sử dụng là chứng thư điện tử được phép công bố rộng rãi trên môi trường lưới, trong khi người ta thường rất ngại phải đưa cho người khác hộ chiếu của mình. Chứng thư điện tử không ghi những thông tin nhạy cảm và do đó không gây nguy cơ mất an toàn khi đưa ra công bố rộng rãi.
    CA chứng nhận khoá công khai chứa trong chứng thư điện tử thuộc về thực thể có thông tin trong chứng thư. Không dể dàng thay đổi thông tin trong chứng thư điện tử. Sự chứng nhận của CA đảm bảo tính toàn vẹn của chứng thư điện tử.
    Khi người dùng muốn bắt đầu giao dịch với đối tác cùng môi trường lưới, anh ta sẽ không gắn khoá công khai vào trong thông điệp mà thay vào đó là chứng thư điện tử. Người nhận sẽ nhận thông tin có đính kèm chứng thư điện tử và kiểm tra lại bằng xác nhận của CA. Nếu chứng thư này được ký nhận bởi CA đáng tin cậy, bên nhận sẽ chấp nhận khoá công khai trong chứng thư điện tử là của người gửi. Điều này sẽ ngăn cản kẻ phá hoại sử dụng những khoá công khai giả mạo nhằm giả danh người gửi.
    Khi người dùng liên lạc với các đối tác khác cùng môi trường lưới, người nhận sẽ dùng khoá công khai lấy ra từ chứng thư điện tử để mã hóa khóa phiên, tức là khóa đối xứng dùng mã hoá tất cả dữ liệu liên lạc trong phiên làm việc.
    Chứng thư điện tử được tạo bởi thực thể duy nhất (Distinguished Name – DN) và phần mở rộng chứng thư chứa những thông tin về cá nhân hay máy chủ đã được chứng nhận. Một số những thông tin trong phần này có thể bao gồm địa chỉ email, tổ chức hoạt động v.v….[6]

    Chứng thư điện tử
    Các bước tạo chứng thư của máy chủ hay máy trạm từ CA:
    1. Người dùng trong lưới cần chứng nhận kết quả tạo cặp khoá (khoá công khai và khoá riêng, chứng thư điện tử sẽ chứa khoá chung).
    2. Người dùng sẽ ký nhận khoá công khai và những thông tin khác của mình trong chứng thư theo yêu cầu của CA. Thao tác ký nhận khoá công khai nằm trong chứng thư được thực hiện bằng cách người dùng giữ khoá riêng, tương ứng với khoá công khai.
    3. Chứng chỉ đã được ký này sẽ được chuyển đến cho CA. Khoá được người dùng cất giữ và cần được bảo vệ cẩn thận.
    4. CA xác nhận người dùng đang giữ khoá riêng tương ứng khoá công khai trong chứng thư.
    5. CA (hay RA) xác định danh tính duy nhất của người dùng bằng cách xác định thông qua địa chỉ email, số điện thoại. Ngoài ra, CA (hay RA) cũng sử dụng những thông tin của những tổ chức khác để xác danh tính duy nhất của người dùng.
    6. Sau khi đã kiểm tra danh tính duy nhất của người dùng, CA tạo chứng thư bằng việc ký nhận khoá công khai của người dùng và kết hợp với danh tính duy nhất của người dùng. Sau đó, chứng thư được chuyển đến RA và trả về cho người dùng.

    3. Xác nhận người dùng
    Quá trình trên đảm bảo tính chính xác và hợp lệ của chứng thư. Có thể so sánh với quá trình chính quyền cấp hộ chiếu cho công dân. Hộ chiếu này thực hiện trong quá trình đăng nhập khi cá nhân đến các quốc gia khác. Cũng gần giống như hộ chiếu, chứng thư điện tử dùng trong quá trình đăng nhập vào các tài nguyên.


    4. Các dạng chứng thư
    Có hai dạng chứng thư được sử dụng trong môi trường lưới. Loại chứng thư thứ nhất xác định người dùng trong môi trường lưới. Loại thứ hai dành cho máy chủ trên lưới.
    1. Chứng thư dành cho người dùng: người sử dụng cần chứng thư người dùng nhằm xác định thành viên trong lưới. Chứng thư này cung cấp tên người dùng trong lưới, không phải tên máy chủ hay tên máy trạm trong lưới.
    2. Chứng thư dành cho máy chủ: khi người dùng muốn thực hiện chương trình trên môi trường quản lý khóa công khai trên máy chủ, cần phải đăng ký chứng thư cho máy chủ. Chứng thư cho máy chủ được đăng ký với đầy đủ thông tin định danh vị trí máy chủ của người dùng và thông tin định danh chứng thư của họ.

    5. Thu hồi chứng thư
    Các máy tính trong môi trường lưới thực hiện quá trình xác thực lẫn nhau và trao đổi chứng thư điện tử. Do đó, quá trình này không cần tham khảo đến danh sách các chứng thư, thường được lưu trữ bằng dịch vụ cây thư mục. Vì vậy, công việc thu hồi các chứng thư không dùng hoặc quá hạn không thể làm tự động.
    Trong vài kiến trúc quản lý khóa công khai, dịch vụ cây thư mục được dùng để lưu trữ các chứng thư thu hồi. Nhờ đó, các thành viên có thể tham khảo được các chứng thư không còn dùng hoặc quá hạn.


    6. Xác nhận đường dẫn
    RFC 3280 mô tả phương thức xác nhận tính hợp lệ của chứng thư. Quá trình xác nhận đường dẫn chính là từng bước xác nhận chứng thư và chứng thư ủy quyền hợp lệ. Điều này được thực hiện theo các bước xác nhận từ CA gốc cho đến các mắc xích trong xâu các chứng thư ủy quyền tiếp theo. Chứng thư ủy quyền là một chức năng bổ sung trong các kiến trúc quản lý khóa công khai.


    7. Dịch vụ cây thư mục trong PKI
    Trong vài PKI, khoá đã được ký nhận sẽ được lưu trong cây thư mục nhằm dể dàng truy vấn. Thay vì các thực thể xác thực lẫn nhau, hệ thống bổ sung chức năng quản lý đăng nhập lẫn nhau này. Ví dụ mẫu cho quá trình này là máy chủ MyProxy hoạt động như grid web proxy trong cổng thông tin Web. Người dùng muốn đăng nhập vào cổng thông tin Web phải đưa chứng thư ủy quyền được lưu trữ trên cây thư mục, trong đó có các thông tin định danh người dùng và mã công khai. Quá trình xác thực sẽ lấy DN trong chứng thư điện tử ủy quyền, kiểm tra thông tin đáng tin cậy của nó với khoá công khai lưu trong cây thư mục. Nếu khóa công khai trong chứng thư ủy quyền khớp với chứng thư được lưu trữ trên cây thư mục, người dùng được quyền truy nhập vào hệ thống.


    Nguồn: sưu tầm

Working...
X