Mã hoá trong Mạng máy tính
06520027 Hồ Thanh Bình
06520031 Võ Khải Hoàng Ca
06520061 Nguyễn Quốc Cường
06520062 Trần Huy Cường
06520069 Đỗ Quang Đạt
06520090 Nguyễn Xuân Đức
06520118 Hoàng Trường Giang
06520212 Cao Văn Huỳnh
06520422 Đinh Xuân Thắng
06520434 Bùi Trung Thành
06520546 Huỳnh Thanh Tùng
06520569 Võ Quốc Việt
06520576 Nguyễn Văn Vỉnh
06520370 Phan Duy Quốc
An toàn mạng – Mã hoá Page 1
Các sản phẩm của mã hoá luôn có mặt khắp nơi trong đời sống thường ngày, đối với
ngành IT, đây là yếu tố không thể thiếu trong mọi ứng dụng hiện đại, đặc biệt là đối
với ngành giao dịch điện tử & bảo mật mạng.
MỤC LỤC: Trang
I. Tổng quan về mã hoá 3
II. Kĩ thuật mã hoá chung 4
III. Ứng dụng thực tiễn 7
IV. Các công cụ mã hoá 12
An toàn mạng – Mã hoá Page 2
I. Tổng quan về mã hoá
Mã hoá là gì: Mã hoá là một tiến trình biến đổi thông tin, sử dụng các thuật toán nhằm
mục đích không cho người khác có thể nắm bắt được nếu thiếu một vốn thông số nhất
định (key) để dịch ngược.
Đi kèm với mã hoá là giải mã.
Có rất nhiều loại thuật toán mã hoá cho dữ liệu máy tính, chúng được gọi tên theo

tin chứa đựng trong dạng đã mật mã hóa của nó. Nói khác đi, nó không thể cho
phép thu lượm được bất kỳ thông tin đáng kể nào về nội dung của thông điệp.
2) Nguyên vẹn: Người nhận cần có khả năng xác định được thông tin có bị thay
đổi trong quá trình truyền thông hay không.
3) Xác thực: Người nhận cần có khả năng xác định người gửi và kiểm tra xem
người gửi đó có thực sự gửi thông tin đi hay không.
II. Kĩ thuật mã hoá chung
Các kĩ thuật mã hoá đều sử dụng các khoá (key) làm tác nhân thực hiện việc khoá mã,
thông thường khoá được thể hiện bằng độ dài của khoá tính theo bit, số bits càng lớn
thì tính bảo mật của phép mã hoá càng cao, có thể hiểu nôm na một khoá là một mật
khẩu. Thông thường, để an toàn thì các khoá thường có độ dài 128bits, nghĩa là
phương pháp tấn công vét cạn sẽ phải dò 2
128
trường hợp.
Có 3 kĩ thuật mã hoá chính:
1) Mã hoá đối xứng (Symmetric-key algorithms) - AES, IDEA, DES
Là các thuật toán mã hoá và giải mã trong đó các khoá (key) dùng cho
việc mã hoá và giải mã có quan hệ ràng buộc với nhau (về mặt toán học)
hoặc là như nhau.
Hạn chế của mã hoá đối xứng là khi trao đổi, khoá mã phải được 2 bên
nắm giữ, do vậy việc bảo vệ an toàn cho khoá mã là một việc hết sức khó
khăn. Để đảm bảo việc thông tin liên lạc được an toàn trong một nhóm n
người thì bắt buộc số lượng chìa khoá phải là n(n-1)/2. Do tính chất này,
để tránh rườm ra, người ta phân phối mã khoá này bằng phương pháp mã
hoá bất đối xứng khi có một phiên giao dịch, lúc đó ít nhiều sẽ dễ dàng
quản lý mã khoá hơn thông thường.
Ví dụ điển hình:
An toàn mạng – Mã hoá Page 4
Ngày xưa, khi chưa có máy tính, người ta đã vận dụng phương pháp mã
hoá đối xứng bằng một miếng bìa có đục lỗ theo ý của người viết mã

Tên gọi của nó đã gợi lên ý niệm là chuỗi mã hoá không thể bị dịch
ngược lại. Người ta đã chứng minh được rằng, mỗi chuỗi đã mã hoá chỉ
có thể là ánh xạ của duy nhất một chuỗi chưa mã hoá nhập vào ; có
nghĩa là một mật khẩu chỉ có thể được mã hoá ra một chuỗi duy nhất và
An toàn mạng – Mã hoá Page 5
ngược lại. Các thuật toán mã hoá một chiều được dùng nhiều trong quá
trình xác thực, lưu mật khẩu, thông tin thẻ tín dụng… Nền tảng của loại
này có thể xếp vào cùng loại với mã hoá đối xứng. Trong giao dịch điện
tử, chìa khoá chính là mật khẩu mà người sử dụng đã chọn lựa sẽ được
dùng để mã hoá thông tin của khách hàng, còn mật khẩu sẽ được mã hoá
theo hàm băm một chiều, các hackers hay thậm chí là admin của trang
giao dịch dù có lấy được dữ liệu lưu trên máy chủ cũng không thể nào
dịch ngược nếu không biết được mật khẩu (key) của user.
Ban đầu, người dùng nhập mật khẩu dưới dạng text và gửi yêu cầu xác
thực. Mật khẩu này sẽ được mã hoá băm (chẳng hạn là MD5). Quá trình
kiểm tra nếu trùng với chuỗi mã hoá đã lưu ở máy chủ thì mật khẩu đó
là hợp lệ.
Các thuật toán nổi tiếng được sử dụng nhiều nhất là MD-5 (Message-
Digest algorithm 5) và các thuật toán SHA (SHA-1, SHA-2). Mọi ứng
dụng từ các forum như IPB, VBB cho đến Yahoo! đều ứng dụng trong
việc mã hoá mật khẩu của users.
Theo nhận xét trong chuẩn của FIPS 180-2:
1) Cho một giá trị băm nhất định được tạo nên bởi một trong những
thuật giải SHA, việc tìm lại được đoạn dữ liệu gốc là không khả thi.
2) Việc tìm được hai đoạn dữ liệu nhất định có cùng kết quả băm tạo
ra bởi một trong những thuật giải SHA là không khả thi. Bất cứ thay đổi
nào trên đoạn dữ liệu gốc, dù nhỏ, cũng sẽ tạo nên một giá trị băm hoàn
toàn khác với xác suất rất cao.
* MD5 chuyển đổi thông tin có chiều dài bất kì thành một chuỗi có độ
dài 128 bit không đổi với xác suất khác biệt cao, được biểu diễn bằng 32

SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương
trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin
đi/đến, mà ngày nay được sử dụng rộng rãi cho giao dịch điện tử như truyền số hiệu
thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet.
Điểm cơ bản của SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật,
an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí
dụ như webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi
trong nhiều ứng dụng khác nhau trên môi trường Internet.
An toàn mạng – Mã hoá Page 7
Chúng ta chỉ phân tích cơ chế để hiểu rõ thêm ứng dụng của các kĩ thuật mã hoá vào
giao thức này.
Để dễ hiểu, phần này sẽ trình bày qua ví dụ cụ thể: Alice trao đổi thông tin với Bob
bằng công nghệ khóa chung. Type_of_key{message} có nghĩa là message được mã
hóa hoặc giải mã bằng với loại thuật toán đang dùng (Type_of_key).
Alice cần chắc chắn là mình sẽ nói chuyện với Bob mà không phải là một ai khác.
Alice sẽ tiến hành xác thực (authenticate) Bob. Bob có một cặp khóa gồm một khoá
công khai (public key) và một khóa riêng (private key). Bob cho Alice biết trước khoá
công khai (public key) của mình (sẽ nói sau bằng cách nào). Alice sẽ tạo ra một thông
điệp ngẫu nhiên (random message) và gởi nó đến Bob:
A->B Random_message
Bob dùng khóa riêng (private key) của mình để mã hóa thông điệp vừa nhận được và
gởi trả lại cho Alice:
B->A private_Bob(Random_message)
Alice nhận được message từ Bob, dùng khoá công khai (public key) của Bob để giải
mã message này và sau đó so sánh message vừa giải mã được với Random_message
đã gởi đi. Nếu giống nhau, Alice có thể tin chắc rằng mình đang nói chuyện với Bob.
1. Digest
Thay vì phải mã hóa toàn bộ message nhận được từ Alice, Bob có thể xây dựng một
bản tóm tắt (digest) của message bằng hàm băm một chiều (hash one-way), sau đó mã
hóa digest bằng khóa riêng (private key) của mình và gởi cho Alice. Alice sẽ dùng

A->B Hãy đưa bằng chứng đi!
B->A Alice, Mình là Bob đây!
private_Bob{digest[“Alice, Mình là Bob đây!”]}
Với cách này thì ai cũng có thể giả mạo Bob và trao khoá công khai (public key) của
họ cho Alice, làm cho Alice tưởng lầm là mình đang nói chuyện với Bob.
Để giải quyết vấn đề này, Alice và Bob có thể dùng giấy chứng nhận điện tử
4. Giấy chứng nhận điện tử (digital certificate)
Giấy chứng nhận điện tử dùng để chứng nhận khoá công khai (public key) của một cá
nhân nào đó. Một giấy chứng nhận điện tử thường bao gồm các thứ sau:
- Tên cơ quan cấp giấy chứng nhận (issuer's name)
- Tên thực thể (entity) được cấp giấy chứng nhận(còn được gọi là đối tượng - subject)
- Khoá công khai (public key) của subject
An toàn mạng – Mã hoá Page 10
- Tem thời gian (time-stamps) cho biết thời gian có hiệu lực của giấy chứng nhận
Chỉ có các cơ quan có thẩm quyền Certificate Authority (thường được gọi tắt là CA)
mới đươc phép cấp giấy chứng nhận. Giấy chứng nhận được kí bằng khóa riêng
(private key) của người cấp. CA cũng được tổ chức theo dạng cây "hierarchy" tương
tự như domain-name. Dĩ nhiên bạn cũng có thể tạo ra một CA mới cho riêng cho
mình.
Chúng ta hãy xem giao thức mới này:
A->B Xin chào!
B->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!
A->B Hãy đưa bằng chứng đi!
B->A Alice, Mình là Bob đây!
private_Bob{digest[“Alice, Mình là Bob đây!”]}
Bằng cách gửi Giấy chứng nhận điện tử (digital certificate) của mình cho Alice (có
nghĩa là alice sẽ biết khoá công khai của Bob) thì bắt buộc thông điệp phải được mã
hoá bằng chính private key của Bob thì Alice mới xác nhận được.
Ai đó dùng giấy chứng nhận của Bob để giả mạo Bob sẽ bị Alice phát hiện ngay!
A->M Xin chào


6. Tấn công man-in-the-middle
Giao thức trên chưa phải là an toàn tuyệt đối. Mallet ngồi giữa Alice và Bob có thể
chơi trò tấn công man-in-the-middle như sau:
A->M Xin chào!
M->B Xin chào!
B->M Chào, Mình là Bob. Đây là giấy chứng nhận của mình!
M->A Chào, Mình là Bob. Đây là giấy chứng nhận của mình!
A->M Hãy đưa bằng chứng đi!
M->B Hãy đưa bằng chứng đi!
B->M Alice, Mình là Bob đây!
private_Bob{digest[“Alice, Mình là Bob đây!”]}
M->A Alice, Mình là Bob đây!
private_Bob{digest[“Alice, Mình là Bob đây!”]}
A->M Ok Bob, đây là khoá bí mật của chúng ta public_Bob{“khóa_bí_mật”}
M->B Ok Bob, đây là khoá bí mật của chúng ta public_Bob{“khóa_bí_mật”}
B->M khóa-bí-mật{something}
M->A Editted [khóa-bí-mật{something}]
Mallet sẽ chuyển tiếp dữ liệu giữa Alice và Bob cho đến khi họ trao đổi khóa bí mật.
Tại thời điểm này Alice nghĩ rằng mình đang nói chuyện với Bob nên tin tưởng hoàn
toàn vào các message do Bob gởi tới. Thực chất không phải là như vậy. Mallet mặc dù
không biết khóa bí mật nhưng hoàn toàn có thể xén, thêm hoặc sửa đổi gì đó trên các
dữ liệu được gởi từ Bob đến Alice.
An toàn mạng – Mã hoá Page 12
7. Mã xác thực thông điệp (MAC)
Để ngăn chặn cuộc tấn công man-in-the-middle trên, Alice và Bob có thể dùng thêm
mã xác thực thông điệp (Message Authentication Code) thường được gọi tắt là MAC.
Thuật toán tạo MAC khá đơn giản:
Code:
MAC = Digest[some message, khóa bí mật]