Bài giảng An toàn an ninh thông tin - Bài 4: Giao thức mật mã - Bùi Trọng Tùng
Một số lưu ý khác
• Đảm bảo tính bí mật:
Khóa bí mật
Khóa cá nhân
Các giá trị chia sẻ bí mật khác
• Đảm bảo tính toàn vẹn, xác thực:
Khóa bí mật
Khóa công khai
Thông tin sinh khóa
• Kiểm tra tính hợp lệ của các tham số nhóm
• Kiểm tra tính hợp lệ của khóa công khai
• Kiểm tra quyền sở hữu khóa cá nhân
• Không kết thúc ngay giao thức khi có 1 lỗi xảy ra
Làm chậm thông báo lỗi
• Chỉ sử dụng các giao thức tiêu chuẩn
• Thông báo lỗi không nêu cụ thể nguyên nhân lỗi
• Không sử dụng khóa giống nhau cho cả 2 chiều truyền tin
• Không sử dụng khóa giống nhau cho 2 mục đích mã mật
và xác thực
• Tấn công vào quá trình thỏa thuận của giao thức
24 trang |
Chia sẻ: hachi492 | Ngày: 06/01/2022 | Lượt xem: 400 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng An toàn an ninh thông tin - Bài 4: Giao thức mật mã - Bùi Trọng Tùng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1BÀI 4.
GIAO THỨC MẬT MÃ
Bùi Trọng Tùng,
Viện Công nghệ thông tin và Truyền thông,
Đại học Bách khoa Hà Nội
1
Nội dung
• Tổng quan về giao thức mật mã
• Các giao thức trao đổi khóa
• Các giao thức chữ ký điện tử
2
1
2
21. TỔNG QUAN VỀ GIAO THỨC MẬT MÃ
3
Giao thức mật mã là gì?
• Chúng ta đã biết về “mật mã” và các ứng dụng của nó:
Bảo mật
Xác thực
• Nhưng chúng ta cần biết “Sử dụng mật mã như thế nào?”
Hệ mật mã an toàn chưa đủ để làm cho quá trình trao đổi thông tin
an toàn
Cần phải tính đến các yếu tố, cá nhân tham gia không trung thực
• Giao thức là một chuỗi các bước thực hiện mà các bên
phải thực hiện để hoàn thành một tác vụ nào đó.
Bao gồm cả quy cách biểu diễn thông tin trao đổi
• Giao thức mật mã: giao thức sử dụng các hệ mật mã để
đạt được các mục tiêu an toàn bảo mật
4
3
4
3Các thuộc tính của giao thức mật mã
• Các bên tham gia phải hiểu về các bước thực hiện giao
thức
• Các bên phải đồng ý tuân thủ chặt chẽ các bước thực
hiện
• Giao thức phải rõ ràng, không nhập nhằng
• Giao thức phải đầy đủ, xem xét mọi tình huống có thể
• Với giao thức mật mã: Giao thức phải được thiết kế
để khi thực hiện không bên nào thu được nhiều lợi
ích hơn so với thiết kế ban đầu.
5
Yêu cầu Perfect Forward Secrecy
• Một giao thức cần đảm bảo an toàn cho khóa ngắn
hạn(short-term key) trong các phiên làm việc trước là an
toàn khi khóa dài hạn (long-term key) không còn an toàn.
6
5
6
4Tấn công khóa đã biết (known-key)
• Sử dụng khóa phiên đã biết trong các phiên làm việc
trước để tấn công các phiên làm việc tới.
Dùng khóa phiên cũ đã biết để tính toán khóa phiên trong các
phiên truyền thông mới
Dùng khóa phiên cũ đã biết để đánh lừa nạn nhân sử dụng lại
Tấn công phát lại (Replay Attack)
7
Giao thức có trọng tài(Trusted arbitrator)
• Trọng tài là bên thứ 3 thỏa mãn:
Không có quyền lợi riêng trong giao thức
Không thiên vị
• Các bên cần tin tưởng vào trọng tài
Mọi thông tin từ trọng tài là đúng và tin cậy
Trọng tài luôn hoàn thành đầy đủ nhiệm vụ trong giao thức
• Ví dụ: Alice cần bán một chiếc máy tính cho Bob, người
sẽ trả bằng séc
Alice muốn nhận tờ séc trước để kiểm tra
Bob muốn nhận máy tính trước khi giao séc
8
7
8
5Giao thức có trọng tài – Ví dụ
• Alice và Bob tin tưởng vào Trent-Bên thứ 3 mà cả 2 cùng
tin tưởng
9
(1)
(2)
(3)
(4)
(5)
OK
(6)
OK
(7)
Trent
Alice Bob
Giao thức có trọng tài – Ví dụ
• Alice tin tưởng vào ngân hàng mà Bob ủy nhiệm
10
Alice
Bob
(1)
(2)
(3)
(3)
9
10
6Giao thức sử dụng trọng tài
• Khi 2 bên đã không tin tưởng nhau, có thể đặt niềm tin
vào bên thứ 3 không?
• Tăng chi phí
• Tăng trễ
• Trọng tài trở thành “cổ chai” trong hệ thống
• Trọng tài bị tấn công
11
Giao thức có người phân xử(Adjudicated
Protocols)
• Chia giao thức có trọng tài thành 2 giao thức:
Giao thức không cần đến trọng tài, có thể thực hiện bất kỳ khi nào
2 bên muốn
Giao thức cần người phân xử: chỉ sử dụng khi có tranh chấp
• Hãy xem xét lại giao dịch trong ví dụ trên với giải pháp
mới này!
(1) Alice và Bob thỏa thuận hợp đồng
(2) Hai bên cùng ký xác thực vào hợp đồng
(3) Thực hiện giao dịch
Nếu có tranh chấp:
(4) Alice trình bằng chứng cho người phán xử
(5) Bob trình bằng chứng cho người phán xử
12
11
12
7Giao thức tự phân xử(Self-Enforcing
Protocols)
• Không cần đến bên thứ 3
• Giao thức có cơ chế để một bên có thể phát hiện sự gian
lận của bên còn lại
• Không phải tình huống nào cũng có thể tìm ra giao thức
như vậy
13
Các dạng tấn công vào giao thức mật mã
• Có thể lợi dụng các điểm yếu trong:
Hệ mật mã
Các bước thực hiện
• Tấn công thụ động: nghe trộm
• Tấn công chủ động: can thiệp vào giao thức
Chèn thông điệp
Thay thế thông điệp
Sử dụng lại thông điệp
Giả mạo một trong các bên
14
13
14
82. CÁC GIAO THỨC PHÂN PHỐI KHÓA BÍ MẬT
15
Hãy xem lại sơ đồ bảo mật sử dụng mật
mã khóa đối xứng
16
Mã hóa Giải mã
Kênh truyền
Thám mã
M
kS kS
m
c c
m*
kS*
Bob
Kẻ tấn
công
?
Làm thế nào để Alice
chuyển khóa một cách an
toàn cho Bob!
Alice
15
16
9Giao thức phân phối khóa không tập
trung
• Khóa chính: kM đã được A và B chia sẻ an toàn
Làm thế nào vì đây chính là bài toán đang cần giải quyết
Khóa chính được sử dụng để trao đổi khóa phiên KS
• Khóa phiên kS: sử dụng để mã hóa dữ liệu trao đổi
• Giao thức 1.1
(1) A B: IDA
(2) B A: E(kM, IDB||kS)
• Giao thức này đã đủ an toàn chưa?
Tấn công nghe lén
Tấn công thay thế
Tấn công giả mạo
Tấn công phát lại
17
Giao thức phân phối khóa không tập
trung – Giao thức 1.2
• Sử dụng các yếu tố chống tấn công phát lại
(replay attack)
(1) A B: IDA || N1
(2) B A: E(kM, IDB || kS || N1 || N2)
(3) A B: A kiểm tra N1 và gửi E(kS, N2)
(4) B kiểm tra N2
• E: Hàm mã hóa có xác thực
• N1, N2: Giá trị nonce (dùng 1 lần)
• Hạn chế của phân phối khóa không tập trung?
18
17
18
10
Sơ đồ trao đổi khóa Diffie-Hellman
19
• Alice và Bob cùng chia sẻ một khóa nhóm (p, g). Trong đó
p là một số nguyên tố
1< g < p thỏa mãn: (gi mod p) ≠ gj mod p ∀ 1 ≤ i ≠ j < p
XA < p
YA = g
X
A mod p
XB < p
YB = g
X
B mod p
YA
YB
A
kS = YB
X
A mod p
= (gXB mod p)
X
A mod p
= gXA
X
B mod p
kS = YA
X
B mod p
= gXA
X
B mod p
B
Ví dụ
• Khóa chung của nhóm p = 71, g= 7
Hãy tự kiểm tra điều kiện thỏa mãn của g
• A chọn XA = 5, tính YA = 7
5 mod 71 = 51
Rút ra được điều gì từ sơ đồ này?
20
YA
YB
A B
XA = 5
YA = 7
5 mod 71 = 51
XB = 12
YB = 7
12 mod 71 = 4
kS = 51
12 mod 71 =
30
kS = 4
5 mod 71 = 30
19
20
11
Tấn công sơ đồ trao đổi khóa Diffie-
Hellman
• Nhắc lại sơ đồ:
• Kịch bản tấn công man-in-the-middle
C sinh 2 cặp khóa (X’A ,Y’A) và (X’B ,Y’B)
Tráo khóa YA bằng Y’A, YB bằng Y’B
Hãy suy luận xem tại sao C có thể biết được mọi thông tin A và B
trao đổi với nhau
21
XA < p
YA = g
X
A mod p
XB < p
YB = g
X
B mod p
YA
YB
A
kS = YB
X
A mod p
kS = YA
X
B mod p
B
Giao thức phân phối khóa tập trung
• Sử dụng bên thứ 3 được tin cậy – KDC (Key Distribution
Centre):
Sinh khóa bí mật kS
Phân phối kS tới A và B
• A và KDC đã chia sẻ một khóa bí mật kA, B và KDC đã
chia sẻ một khóa bí mật kB
Làm thế nào?
22
21
22
12
Giao thức phân phối khóa tập trung-
Giao thức 2.1
(1) A KDC: IDA || IDB
(2) KDC A: E(kA, kS || IDA || IDB || E(kB, IDA || kS))
(3) A giải mã (2), thu được kS
(4) A B: E(kB, IDA || kS). B giải mã, thu được kS
(5) A ↔ B: E(kS, Data)
• E: Mã hóa có xác thực
• Hãy xem xét tính an toàn của giao thức này?
Tấn công nghe lén
Tấn công thay thế
Tấn công giả mạo
Tấn công phát lại
23
Giao thức phân phối khóa tập trung-
Giao thức 2.2 (Needham-Schroeder)
(1) A KDC: IDA || IDB || N1
(2) KDC A: E(kA, kS || IDA || IDB || N1 || E(kB, IDA || kS))
(3) A giải mã, kiểm tra N1 thu được kS
(4) A B: E(kB, IDA || kS) B giải mã, thu được kS
(5) B A: E(kS, N2) A giải mã, có được N2, tính f(N2)
(6) A B: E(kS, f(N2)) B giải mã kiểm tra f(N2)
(7) A ↔ B: E(kS, Data)
E: mã hóa có xác thực
N1, N2: giá trị dùng 1 lần (nonce)
f(x): hàm biến đổi sao cho f(x) ≠ x với mọi x(Tại sao cần?)
• Hãy xem xét lại tính an toàn của giao thức này!
24
23
24
13
Tính đúng đắn của giao thức
• Xem xét việc tấn công phát lại vào bản tin số 4:
(4) Attacker B: E(kB, IDA || k
old
S)
(5) B A: E(koldS, N2)
A giải mã D(knewS, E(k
old
S, N2)) = N2’ ≠ N2
(6) A B: E(knewS, f(N2’))
B giải mã: D(koldS, E(k
new
S, f(N2’))) ≠ f(N2) B từ chối sử
dụng khóa koldS
25
Giao thức phân phối khóa tập trung-
Giao thức 2.3 (Denning)
(1) A KDC: IDA || IDB
(2) KDC A: E(kA, kS || IDA || IDB || T || E(kB, IDA || kS || T))
(3) A giải mã, kiểm tra T, thu được kS
(4) A B: E(kB, IDA || kS || T) B giải mã, kiểm tra T
(5) B A: E(kS, N1)
(6) A B: E(kS, f(N1)) B giải mã, kiểm tra N1
(7) A ↔ B: E(kS, Data)
E: mã hóa có xác thực
T: nhãn thời gian (time stamp) là thời điểm KDC phát bản tin
• Kiểm tra tính an toàn của sơ đồ này:
Mất đồng bộ đồng hồ của các bên
26
25
26
14
Giao thức 2.3 (Denning)
27
KDC A
t = T
t = tA
(2)
A kiểm tra: tA – (T + X) < deltatA
bản tin hợp lệ
t = T + deltat
A B
t = tB
(4): T
t = T + deltat
B kiểm tra: tB – T < deltatB
bản tin hợp lệ
Kiểm tra nhãn thời gian
Giao thức 2.3 (Denning)
• Tấn công khi mất đồng bộ đồng hồ
28
KDC A
t = T + X
t = tA
(2): T + X
t = T + deltat
t = X t = 0
t = T
Phiên làm việc kết thúc
Phiên mới bắt đầu lại ngayPhát lại (2): T + X
A chấp nhận bản tin
27
28
15
Giao thức phân phối khóa tập trung-
Giao thức 2.4 (Kehne)
(1) A B: IDA || NA
(2) B KDC: IDB || NB || E(kB, IDA || NA || TB)
(3) KDC A: E(kA, IDB || NA || kS) || E(kB, IDA || kS || TB) || NB
A giải mã, kiểm tra NA chấp nhận kS nếu NA hợp lệ
(4) A B: E(kB, IDA || kS || TB) || E(kS, NB)
B giải mã, kiểm tra TB chấp nhận kS nếu TB hợp lệ
giải mã với kS, biết NB
(4) và so sánh với NB
(2) xác nhận
được khóa kS mà A dùng giống B đang có
TB: Thời điểm B gửi bản tin số (2)
• Vì sao việc sử dụng nhãn thời gian TB của B tốt hơn nhãn
thời gian T của KDC trong giao thức 2.3
29
Giao thức 2.4 (Kehne)
30
B
(2): TBt = TB
t = t1
(4): TB
B kiểm tra: t1 – TB < deltatB
bản tin hợp lệ
t = TB + deltatB
Phiên kết thúc
Phiên mới được bắt đầu ngay
Tấn công phát lại(4): TB
29
30
16
3. CÁC GIAO THỨC PHÂN PHỐI KHÓA CÔNG KHAI
31
Hãy xem lại sơ đồ bảo mật sử dụng mật
mã khóa công khai
32
Mã hóa Giải mã
Kênh truyền
Thám mã
M
kUB kRB
M
C C
m*
k*RB
Kẻ tấn
công
Alice
?
Alice có thể chắc
chắn rằng khóa kUB
đúng là khóa công
khai của Bob?
Bob
31
32
17
Giao thức phân phối khóa không tập
trung
• Hãy xem xét giao thức sau(Giao thức 3.1):
(1) A B: IDA || kUA || N1
(2) B A: IDB || kUB || N2 || E(kUA, f(N1))
(3) A kiểm tra f(N1)
A B: E(kUB, g(N2))
(4) B kiểm tra g(N2)
(5) B A: E(kUA, DataA)
(6) A B: E(kUB, DataB)
• f(x) và g(x) là các hàm xác thực như MAC, HMAC
33
• Tấn công 1: Kẻ tấn công thay thế kUA thành k’UA trong (1)
(2) B A: E(k’UA, f(N1))
(3) A giải mã: D(kRA, (E(k’UA, f(N1))) ≠ f(N1) A từ chối.
• Tấn công 2: Tấn công 1: Kẻ tấn công thay thế kUB thành
k’UB trong (1)
Giải thích tương tự
34
33
34
18
Giao thức 3.1 – Tấn công man-in-the-middle
• C tự sinh cặp khóa (k’UA, k’RA) và (k’UB, k’RB)
35
A C B
(1) A B: IDA || kUA || N1
(1’) C B: IDA || k’UA || N1
(2)BA: IDB || kUB || E(k’UA, f(N1)) || N2
(2’)CA: IDB || k’UB || E(kUA, f(N1)) || N2
(3) A B: E(k’UB, g(N2))
(3’) C B: E(kUB, g(N2))
(4)BA: E(k’UA, DataB)
(4’)BA: E(kUA, DataB)
(5) A B: E(k’UB, DataA)
(5) A B: E(kUB, DataA)
Reflection attack
Giao thức 3.2
36
• Hãy xem xét giao thức sau(Giao thức 3.2):
(1) A B: IDA || kUA || N1
(2) B A: IDB || kUB || N2 || E(kUA, f(N1))
(3) A B: E(kUB, g(N2))
(4) B gửi phần còn lại bản tin E(kUA, f(N1))
(4’) A giải mã với kRA nhận được f(N1) và kiểm tra
A gửi phần còn lại của bản tin E(kUB, g(N2)) cho B
(4’’) B giải mã với kRB nhận được g(N2) và kiểm tra.
(5) B A: E(kUA, DataA)
(6) A B: E(kUB, DataB)
B chỉ gửi một phần
của mẩu tin này cho A
A chỉ gửi một phần mẩu tin này cho B
35
36
19
Giao thức phân phối khóa tập trung-
Giao thức 4.1
• Sử dụng bên thứ 3 tin cậy – PKA (Public Key Authority)
Có cặp khóa (kUPKA, kRPKA)
Nhận các khóa công khai kUA của A và kUB của B một cách an toàn.
Làm thế nào vì đây chính là bài toán đang cần giải quyết
• A và B đều có khóa công khai kUPKA của PKA
• Giao thức 4.1
(1) A PKA: IDA || IDB
(2) PKA A: E(kRPKA, IDB || kUB)
(3) A B: E(kUB, N1)
(4) B PKA: IDB || IDA
(5) PKA B: E(kRPKA, IDA || kUA)
(6) B A: E(kUA, N1)
37
- Kiểm tra tính an toàn
của giao thức này?
- Có thể tấn công vào
giao thức này như
thế nào?
Giao thức 4.1
38
37
38
20
Giao thức phân phối khóa tập trung-
Giao thức 4.2
(1) A PKA: IDA || IDB || T1
(2) PKA A: E(kRPKA, IDB || kUB || T1)
(3) A B: E(kUB, N1)
(4) B PKA: IDB || IDA || T2
(5) PKA B: E(kRPKA, IDA || kUA || T2)
(6) B A: E(kUA, N1)
T1, T2: nhãn thời gian chống tấn công phát lại
• Giao thức này có hạn chế gì?
39
Giao thức 4.2
40
39
40
21
Giao thức phân phối khóa tập trung-
Giao thức 4.3
• Bên thứ 3 được tin cậy – CA(Certificate Authority)
Có cặp khóa (kUCA, kRCA)
Phát hành chứng thư số cho khóa công khai của các
bên có dạng
Cert = E(kRCA, ID || kU || Time)
ID: định danh của thực thể
kU: khóa công khai của thực thể đã được đăng ký tại CA
Time: Thời hạn sử dụng khóa công khai. Thông thường
có thời điểm bắt đầu có hiệu lực và thời điểm hết hiệu
lực.
41
Giao thức phân phối khóa tập trung-
Giao thức 4.3 (tiếp)
(1) A CA: IDA || kUA || TimeA
(2) CA A: CertA= E(kRCA, IDA || kUA || TimeA)
(3) B CA: IDB || kUB || TimeB
(4) CA B: CertB= E(kRCA, IDB || kUB || TimeB)
(5) A B: CertA
(6) B A: CertB
• Làm thế nào để A và B có thể yên tâm sử dụng khóa công
khai của nhau?
• Hãy cải tiến lại các giao thức trong các khâu cần đến xác
thực thông điệp (sử dụng MAC hoặc hàm băm)
• Đọc thêm về PKI và chứng thư số theo chuẩn X.509
42
41
42
22
Giao thức 4.3 (tiếp)
43
Phân phối khóa bí mật của hệ mật mã
khóa đối xứng
• Hạn chế chung của các giao thức phân phối khóa bí mật
trong hệ mật mã khóa đối xứng
Giao thức không tập trung: Số lượng khóa sử dụng lớn
Giao thức tập trung: PKA phải đáp ứng yêu cầu với tần suất rất lớn
Không có cơ chế xác thực rõ ràng
Sử dụng mật mã khóa công khai trong các giao thức phân phối
khóa bí mật
(1) A B: E(kUB, E(kRA, kS))
(2) B giải mã với kRB, sau đó kiểm tra để chắc chắn thông điệp xuất
phát từ A. Khóa kS thu được là khóa phiên.
(3) A ↔ B: E(kS, Data)
• Tất nhiên giao thức trên không chống được tấn công phát
lại. Việc cải tiến giao thức trên như là một bài tập.
44
43
44
23
Kết luận
• Hệ thống có nguy cơ mất an toàn ngay cả khi chúng ta sử
dụng hệ mật mã tốt nếu không có một giao thức quản lý
và phân phối khóa an toàn
• Hãy sử dụng các giao thức tiêu chuẩn: IPSec, TLS,
IEEE802.11x, Keberos,
• Mật mã phải gắn liền với xác thực
• Thực tế các giao thức phân phối khóa đã trình bày đều
xác thực dựa trên các sơ đồ mã hóa của hệ mật mã.
Chúng ta biết rằng, giải pháp này chưa thực sự an toàn
(hãy xem lại những phân tích trong bài §3. Xác thực
thông điệp).
Bài tập: Hãy sử dụng MAC, hàm băm, chữ ký điện tử để tăng
cường an toàn cho các sơ đồ trên.
45
Một số lưu ý khác
• Đảm bảo tính bí mật:
Khóa bí mật
Khóa cá nhân
Các giá trị chia sẻ bí mật khác
• Đảm bảo tính toàn vẹn, xác thực:
Khóa bí mật
Khóa công khai
Thông tin sinh khóa
• Kiểm tra tính hợp lệ của các tham số nhóm
• Kiểm tra tính hợp lệ của khóa công khai
• Kiểm tra quyền sở hữu khóa cá nhân
46
45
46
24
Một số lưu ý khác
• Không kết thúc ngay giao thức khi có 1 lỗi xảy ra
Làm chậm thông báo lỗi
• Chỉ sử dụng các giao thức tiêu chuẩn
• Thông báo lỗi không nêu cụ thể nguyên nhân lỗi
• Không sử dụng khóa giống nhau cho cả 2 chiều truyền tin
• Không sử dụng khóa giống nhau cho 2 mục đích mã mật
và xác thực
• Tấn công vào quá trình thỏa thuận của giao thức
47
MS Point-to-Point Encryption
• Sử dụng mật mã RC4
• Hoạt động của giao thức
48
Client Server
(1) Thuật toán mã hóa
(40 bit, 56 bit, 128 bit)
(2) Thuật toán mã hóa
(40 bit, 56 bit, 128 bit)
Thỏa thuận thuật
toán mã hóa
(3)Nonce
K = hash(password
|| Nonce)
K = hash(password
|| Nonce)
RC4(K, Data)
47
48
Các file đính kèm theo tài liệu này:
- bai_giang_an_toan_an_ninh_thong_tin_bai_4_giao_thuc_mat_ma_b.pdf