Chương 3:
AN TOÀN MẠNG MÁY TÍNH
Giáo viên: ThS. Tạ Minh Thanh
E-mail: [email protected]

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

1


An ninh truyền tin người-người
-Kẻ trộm không hiểu được nội dung
-Thông điệp không bị sửa đổi
-Gửi đúng địa chỉ
-…

-Ăn trộm
-Sửa đổi
-Huỷ bỏ
-…

??????
"Thần tốc, thần tốc hơn nữa. Táo bạo, táo bạo hơn nữa. Tranh thủ từng giờ, từng
phút, xốc tới mặt trận, giải phóng miền Nam, quyết chiến và toàn thắng".
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

(Bob’s girlfriend)
(Kẻ phá hoại)

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

4


Các yêu cầu về an toàn truyền tin
• Bí mật (confidentiality): msg truyền đi chỉ có sender
(sndr) và receiver (rcvr) hiểu được.
– sndr mã hoá msg
– rcvr giải mã msg

• Chứng thực (authentication): đảm bảo sndr và rcvr
đang trao đổi thông tin với đúng đối tượng (không bị giả
mạo).
• Tính liêm chính và nguyên vẹn (integrity): msg nhận
được không bị sửa đổi và nếu bị sửa đổi phải phát hiện
được; msg phải đảm bảo đến từ đúng sndr.
• Kiểm soát truy cập (access control):
– kiểm soát được sự truy nhập dịch vụ (firewalls).
– dịch vụ luôn sẵn sàng với người dùng hợp lệ.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

ngôn ngữ tự nhiên)
• Ví dụ:
Bảng
thế

Msg

plaintext: bob. i love you. alice
ciphertext: nkn. s gktc wky. mgsbc

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

7


SKC: DES
• DES: Data Encryption Standard
• Đưa ra bởi NIST (National Institute of Standard and Technology,
US).
• Khoá (key) là một số nhị phân 56-bit; dữ liệu (data) là số nhị phân
64-bit.
• Mức độ an toàn của DES:
– RSA Inc. 1997, msg = “Strong cryptography makes the world a safer
place” , khoá 56-bit. giải mã bằng brute-force: 4 tháng.

• Tăng độ an toàn của DES:
– cipher-block chaining: đầu ra của bộ 64-bit thứ j XOR với 64-bit vào kế


• Mã hoá sử dụng khoá công khai:
– mỗi bên (sndr, rcvr) sử dụng một cặp khoá (khoá mã
và khoá giải mã).
– khoá mã được công khai (PK - public key).
– khoá giải mã là bí mật (SK - secret key; sndr không
cần biết khoá này của rcvr).
– sndr không cần biết khoá bí mật của rcvr.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

10


PKC (cont)

• KB+ : khoá công khai (khoá mã) của Bob
• KB- : khoá bí mật (khoá giải mã) của Bob
• Alice chỉ cần biết KB+ để mã hoá thông điệp m.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

11


PKC (cont)

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

13


RSA: Encryption, decryption
• Mã hoá:
– m là dãy bit cần mã hoá
– c = me mod n
– c là mã hoá của m

• Giải mã:
– rcvr nhận được c
– m = cd mod n

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

14


RSA example
Bob chooses p=5, q=7. Then n=35, z=24.
e=5 (so e, z relatively prime).
d=29 (so ed-1 exactly divisible by z)

encrypt:

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

15


RSA: more
-

+

B

B

K (K (m))

+ = m = K (K (m))
B B

sử dụng khoá công
khai trước

sử dụng khoá bí
mật trước

Thứ tự sử dụng khoá công khai và bí mật không
ảnh hưởng tới kết quả mã hoá/giải mã
December 3, 2016


Bob không “nhìn
thấy” Alice trong
mạng máy tính (#
đời thực)
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

18


Authentication: ap2.0

Failed

• Alice says “I am Alice” và gửi kèm địa chỉ của mình để chứng minh:
gói tin của Alice có chứa IP của Alice (src addr).
• Trudy có thể tạo các gói tin giả mạo có chứa src addr là IP của Alice

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

19


Authentication: ap3.0


“I’m Alice”
IP addr password

December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

21


Authentication: ap4.0
• Nonce: số ngẫu nhiên được Bob sử
dụng để “chứng thực” Alice.
• Mỗi lần cần chứng thực, Bob tạo ra một
nonce rồi gửi cho Alice, yêu cầu Alice
mã hoá (sử dụng khoá bí mật chung KAB) rồi gửi lại.
• Bob kiểm tra xem Alice mã hoá có đúng
không? để chứng thực.
• Trudy có thể ghi lại nhưng không thể
dùng lại do nonce là khác nhau với
mỗi lần chứng thực.
• Nhược điểm: khoá bí mật; liệu có thể
sử dụng khoá công khai???
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

22

Lỗ hổng ap5.0:
man-in-the-middle attack
• Trudy đứng ở
giữa, giả mạo Bob
với Alice và giả
mạo Alice với Bob.
• Rất khó phát hiện
vì Trudy luôn nhận
được và giả mạo
các thông điệp.
• Giải pháp: Key
Distribution
Center.
December 3, 2016

Học viện Kỹ thuật Quân sự
Khoa CNTT - An

25